Добрый всем день. Помогите пож-та в моей проблеме.
Приобрели данный шлюз. и пытаемся его настроить. суть такова. в компании 2 офиса + два арендованных сервера с виртуалками на них. Связь всех сетей ранее был через OpenVPN все хорошо работало. теперь перевел все на работу ipsec vpn IKEv2
Итак. один офис и 2 арендованных сервера. стоит линукс машины на centos7, на них настроен strongswan. Одна машина на арендованном сервере выполняет главную роль сервера. все остальные коннектятся к ней. ее параметры такие
Где:
69.46.124.66 - Сервер 1 (его внутренняя подсеть 10.81.3.0.24)(CentOs 7)
82.35.149.134 - Железка UniFi Security Gateway PRO (Его внутренняя подсеть 10.81.1.0/24)
184.34.48.27 - Сервер 2 (его внутренняя подсеть 10.81.2.0/24)(CentOs 7)
69.46.124.136 - Сервера 3 (его внутренняя подсеть 10.81.4.0/24)(CentOs 7)
и + соединение для внешних клиентов по сертификату. "ikev2-mschapv2"
Суть вопроса такова. Когда устанавливаются соединения все работает с любого сервера и сети пингуются все подсети организации, но ровно 2-3 минуты. потом железка перестает видеть подсеть главного сервера 10.81.3.0, соответственно подсеть 10.81.3.0 не видит подсеть 10.81.1.0. Но вот в чем вопрос другие подсети и внешние клиенты прекрассно пингуют сеть 10.81.1.0 и соответсвенно обратно тоже все гут. Даю на главном сервере команду перегрузки сервиса strongswan, как сети 10.81.3.0 и 10.81.1.0 видят друг друга. А вот все остальные сети не видят 10.81.1.0
Выложу скрин настройки на железке
Прошу помощи. Помогите кто сталкивался с таким. Если нужна какая еще информация. выложу.
Приобрели данный шлюз. и пытаемся его настроить. суть такова. в компании 2 офиса + два арендованных сервера с виртуалками на них. Связь всех сетей ранее был через OpenVPN все хорошо работало. теперь перевел все на работу ipsec vpn IKEv2
Итак. один офис и 2 арендованных сервера. стоит линукс машины на centos7, на них настроен strongswan. Одна машина на арендованном сервере выполняет главную роль сервера. все остальные коннектятся к ней. ее параметры такие
config setup
strictcrlpolicy=no
# uniqueids = no
conn %default
ikelifetime=1440m
keylife=60m
rekeymargin=30m
keyingtries=1
keyexchange=ikev1
authby=secret
conn ubiquty
left=69.46.124.66
leftsubnet=10.81.3.0/24, 10.81.2.0/24, 10.9.1.0/24, 10.81.4.0/24
leftid=69.46.124.66
leftfirewall=yes
right=82.35.149.134
rightsubnet=10.81.1.0/24
rightid=82.35.149.134
auto=start
ike=aes128-sha1-modp1536
esp=aes128-sha1
keyexchange=ikev2
conn astra-gw
left=69.46.124.66
leftsubnet=10.81.3.0/24, 10.81.1.0/24, 10.9.1.0/24, 10.81.4.0/24
leftid=69.46.124.66
leftfirewall=yes
leftsourceip=10.9.0.2
right=184.34.48.27
rightsubnet=10.81.2.0/24
rightid=184.34.48.27
auto=start
ike=aes128-sha1-modp1536
esp=aes128-sha1
keyexchange=ikev2
conn host02
left=69.46.124.66
leftsubnet=10.81.3.0/24, 10.81.1.0/24, 10.9.1.0/24, 10.81.2.0/24
leftid=69.46.124.66
leftfirewall=yes
leftsourceip=10.9.0.3
right=69.46.124.136
rightsubnet=10.81.4.0/24
rightid=69.46.124.136
auto=start
ike=aes128-sha1-modp1536
esp=aes128-sha1
keyexchange=ikev2
conn ikev2-mschapv2
ikelifetime=1440m
keylife=600m
rekeymargin=300m
keyingtries=1
keyexchange=ikev2
auto=add
leftid=gate.firma.ru
leftauth=pubkey
leftcert=gate.firma.ru.crt
leftsendcert=always
leftsubnet=10.81.3.0/24, 10.81.1.0/24, 10.81.2.0/24, 10.9.0.0/24, 10.81.4.0/24
eap_identity=%identity
rightauth=eap-mschapv2
rightsendcert=never
rightsourceip=10.9.1.0/24
rightdns=8.8.8.8, 10.81.3.7
strictcrlpolicy=no
# uniqueids = no
conn %default
ikelifetime=1440m
keylife=60m
rekeymargin=30m
keyingtries=1
keyexchange=ikev1
authby=secret
conn ubiquty
left=69.46.124.66
leftsubnet=10.81.3.0/24, 10.81.2.0/24, 10.9.1.0/24, 10.81.4.0/24
leftid=69.46.124.66
leftfirewall=yes
right=82.35.149.134
rightsubnet=10.81.1.0/24
rightid=82.35.149.134
auto=start
ike=aes128-sha1-modp1536
esp=aes128-sha1
keyexchange=ikev2
conn astra-gw
left=69.46.124.66
leftsubnet=10.81.3.0/24, 10.81.1.0/24, 10.9.1.0/24, 10.81.4.0/24
leftid=69.46.124.66
leftfirewall=yes
leftsourceip=10.9.0.2
right=184.34.48.27
rightsubnet=10.81.2.0/24
rightid=184.34.48.27
auto=start
ike=aes128-sha1-modp1536
esp=aes128-sha1
keyexchange=ikev2
conn host02
left=69.46.124.66
leftsubnet=10.81.3.0/24, 10.81.1.0/24, 10.9.1.0/24, 10.81.2.0/24
leftid=69.46.124.66
leftfirewall=yes
leftsourceip=10.9.0.3
right=69.46.124.136
rightsubnet=10.81.4.0/24
rightid=69.46.124.136
auto=start
ike=aes128-sha1-modp1536
esp=aes128-sha1
keyexchange=ikev2
conn ikev2-mschapv2
ikelifetime=1440m
keylife=600m
rekeymargin=300m
keyingtries=1
keyexchange=ikev2
auto=add
leftid=gate.firma.ru
leftauth=pubkey
leftcert=gate.firma.ru.crt
leftsendcert=always
leftsubnet=10.81.3.0/24, 10.81.1.0/24, 10.81.2.0/24, 10.9.0.0/24, 10.81.4.0/24
eap_identity=%identity
rightauth=eap-mschapv2
rightsendcert=never
rightsourceip=10.9.1.0/24
rightdns=8.8.8.8, 10.81.3.7
69.46.124.66 - Сервер 1 (его внутренняя подсеть 10.81.3.0.24)(CentOs 7)
82.35.149.134 - Железка UniFi Security Gateway PRO (Его внутренняя подсеть 10.81.1.0/24)
184.34.48.27 - Сервер 2 (его внутренняя подсеть 10.81.2.0/24)(CentOs 7)
69.46.124.136 - Сервера 3 (его внутренняя подсеть 10.81.4.0/24)(CentOs 7)
и + соединение для внешних клиентов по сертификату. "ikev2-mschapv2"
Суть вопроса такова. Когда устанавливаются соединения все работает с любого сервера и сети пингуются все подсети организации, но ровно 2-3 минуты. потом железка перестает видеть подсеть главного сервера 10.81.3.0, соответственно подсеть 10.81.3.0 не видит подсеть 10.81.1.0. Но вот в чем вопрос другие подсети и внешние клиенты прекрассно пингуют сеть 10.81.1.0 и соответсвенно обратно тоже все гут. Даю на главном сервере команду перегрузки сервиса strongswan, как сети 10.81.3.0 и 10.81.1.0 видят друг друга. А вот все остальные сети не видят 10.81.1.0
Выложу скрин настройки на железке
Прошу помощи. Помогите кто сталкивался с таким. Если нужна какая еще информация. выложу.