UniFi Security Gateway PRO и ipsec IKEcv2 vpn | Ubiquiti форум UBNT: инструкции, настройка

UniFi Security Gateway PRO и ipsec IKEcv2 vpn

yolasun

новичок
15 Фев 2017
3
0
3
43
Добрый всем день. Помогите пож-та в моей проблеме.
Приобрели данный шлюз. и пытаемся его настроить. суть такова. в компании 2 офиса + два арендованных сервера с виртуалками на них. Связь всех сетей ранее был через OpenVPN все хорошо работало. теперь перевел все на работу ipsec vpn IKEv2
Итак. один офис и 2 арендованных сервера. стоит линукс машины на centos7, на них настроен strongswan. Одна машина на арендованном сервере выполняет главную роль сервера. все остальные коннектятся к ней. ее параметры такие
config setup
strictcrlpolicy=no
# uniqueids = no

conn %default
ikelifetime=1440m
keylife=60m
rekeymargin=30m
keyingtries=1
keyexchange=ikev1
authby=secret

conn ubiquty
left=69.46.124.66
leftsubnet=10.81.3.0/24, 10.81.2.0/24, 10.9.1.0/24, 10.81.4.0/24
leftid=69.46.124.66
leftfirewall=yes
right=82.35.149.134
rightsubnet=10.81.1.0/24
rightid=82.35.149.134
auto=start
ike=aes128-sha1-modp1536
esp=aes128-sha1
keyexchange=ikev2
conn astra-gw
left=69.46.124.66
leftsubnet=10.81.3.0/24, 10.81.1.0/24, 10.9.1.0/24, 10.81.4.0/24
leftid=69.46.124.66
leftfirewall=yes
leftsourceip=10.9.0.2
right=184.34.48.27
rightsubnet=10.81.2.0/24
rightid=184.34.48.27
auto=start
ike=aes128-sha1-modp1536
esp=aes128-sha1
keyexchange=ikev2
conn host02
left=69.46.124.66
leftsubnet=10.81.3.0/24, 10.81.1.0/24, 10.9.1.0/24, 10.81.2.0/24
leftid=69.46.124.66
leftfirewall=yes
leftsourceip=10.9.0.3
right=69.46.124.136
rightsubnet=10.81.4.0/24
rightid=69.46.124.136
auto=start
ike=aes128-sha1-modp1536
esp=aes128-sha1
keyexchange=ikev2
conn ikev2-mschapv2
ikelifetime=1440m
keylife=600m
rekeymargin=300m
keyingtries=1
keyexchange=ikev2
auto=add
leftid=gate.firma.ru
leftauth=pubkey
leftcert=gate.firma.ru.crt
leftsendcert=always
leftsubnet=10.81.3.0/24, 10.81.1.0/24, 10.81.2.0/24, 10.9.0.0/24, 10.81.4.0/24
eap_identity=%identity
rightauth=eap-mschapv2
rightsendcert=never
rightsourceip=10.9.1.0/24
rightdns=8.8.8.8, 10.81.3.7
Где:
69.46.124.66 - Сервер 1 (его внутренняя подсеть 10.81.3.0.24)(CentOs 7)
82.35.149.134 - Железка UniFi Security Gateway PRO (Его внутренняя подсеть 10.81.1.0/24)
184.34.48.27 - Сервер 2 (его внутренняя подсеть 10.81.2.0/24)(CentOs 7)
69.46.124.136 - Сервера 3 (его внутренняя подсеть 10.81.4.0/24)(CentOs 7)
и + соединение для внешних клиентов по сертификату. "ikev2-mschapv2"
Суть вопроса такова. Когда устанавливаются соединения все работает с любого сервера и сети пингуются все подсети организации, но ровно 2-3 минуты. потом железка перестает видеть подсеть главного сервера 10.81.3.0, соответственно подсеть 10.81.3.0 не видит подсеть 10.81.1.0. Но вот в чем вопрос другие подсети и внешние клиенты прекрассно пингуют сеть 10.81.1.0 и соответсвенно обратно тоже все гут. Даю на главном сервере команду перегрузки сервиса strongswan, как сети 10.81.3.0 и 10.81.1.0 видят друг друга. А вот все остальные сети не видят 10.81.1.0
Выложу скрин настройки на железке
upload_2017-2-15_15-43-0.png


Прошу помощи. Помогите кто сталкивался с таким. Если нужна какая еще информация. выложу.
 
Автор
Y

yolasun

новичок
15 Фев 2017
3
0
3
43
нашел такую особенность.
При соединении с серверами Linux - Linux строятся такие маршруты
10.81.4.0/24 === 10.9.1.0/24 10.81.2.0/24 10.81.3.0/24
При соединении Linux - unifi такие
10.81.4.0/24 === 10.81.1.0/24
10.81.3.0/24 === 10.81.1.0/24
10.81.2.0/24 === 10.81.1.0/24
10.9.1.0/24 === 10.81.1.0/24
И через 5 минут отваливаются все маршруты кроме первого.
Если я в настройках Unifi ставлю в поле remoute subnets первый 10.81.3.0/24 то соответственно он в маршрутах первый и не отваливается...
Почему железка бракует все маршруты кроме первого. Где что нужно под шаманить чтобы этого не происходило. и почему первые 5 минут после перезагрузки Unifi все работает.
Помогите плиз....
 
Автор
Y

yolasun

новичок
15 Фев 2017
3
0
3
43
Я так понял, помощи тут ждать не стоит.... жаль...