Проблема с VPN на G3150

[Guest ibn]

Добрый день!

Подскажите, пожалуйста, можно ли на G3150-HSPA в качестве Remote Subnet Netmask использовать маску 255.255.0.0? Сейчас у меня есть проблема: при указании маски 255.255.255.0, сеть 192.168.91.0 vpn работает, как только меняю маску на 255.255.0.0, сеть 192.168.0.0 - рботать перестает. В сторону G3150 ESp пакеты улетают, а обратно ничего нет.

[Незнайка]

Здравствуйте!

Каких то ограничений по этому поводу не известно. Посмотрите Network status - Routing - что там будет?

[Guest ibn]

Там что в одном, что в другом случае, две записи:

Iface     Destination          Gateway/HA         Netmask                 Metric     Flag     Use
WAN    0.0.0.0                   XX.XXX.19.90        0.0.0.0                    10              U+     11
LAN    172.31.224.144    172.31.224.145    255.255.255.252    1               U        1735

 

В system log тоже все хорошо:

2018/05/18 13:39:52 [Network] VPN start phase1 main mode connect
2018/05/18 13:40:16 [Network] VPN start encryption
2018/05/18 13:40:16 [Network] VPN phase1 pass
2018/05/18 13:40:16 [Network] VPN phase2 pass

 

[Незнайка]

Ну да... Это хорошо, что две

Ну каких то известных проблем нет. Должно, в теории, работать. Давайте тогда поподробнее - что на другой стороне, конфиги оттуда и отсюда, версии firmware, ну и т. д....

[Guest ibn]

Фирмварь у Moxa последняя, 1.6 Build 17100315. На другой стороне Checkpoint, c которым совершенно нормально работают устройства, аналогичные G3150, но не Moxa. А как конфиги залить, сюда можно картинки вставлять?

[Guest ibn]

53 minutes ago, Guest ibn said:

Фирмварь у Moxa последняя, 1.6 Build 17100315. На другой стороне Checkpoint, c которым совершенно нормально работают устройства, аналогичные G3150, но не Moxa. А как конфиги залить, сюда можно картинки вставлять?

Интересная особенность: в конфигурации с Remote Subnet Mask /16, есть доступ с Moxa в сеть "Remote Subnet IP", но из сети "Remote Subnet IP" на Moxa - нет.

[Незнайка]

1 hour ago, Guest ibn said:

Интересная особенность: в конфигурации с Remote Subnet Mask /16, есть доступ с Moxa в сеть "Remote Subnet IP", но из сети "Remote Subnet IP" на Moxa - нет.

Погодите, до этого ж говорили, что вообще пакетики дескать не возвращаются? Можете снимок экрана с настройками IPsec кинуть?

[Guest ibn]

Пакетики не возвращаются, если трафик инициирован из сети "Remote Subnet IP". Если трафик инициирован с Moxa (System Managemet->Maintenance->Ping) - то работает.

[Незнайка]

А в LAN находится одно устройство с адресом 172.31.224.146 , да? И если с него инициализировать обмен в 192.168.0.0/16, то что будет?

[Guest ibn]

Да, одно устройство. Трафик с него нормально идет, как и с самой moxa.

[Незнайка]

Отстранённый вопрос: видимо Remote endpoint IP на снимках замазан потому, что он белый. А если он белый, то почему NAT-T выключен?

[Guest ibn]

Да, он белый. А зачем NAT-T с белым IP?

[Незнайка]

А на CWAN интерфейс на модем тоже белый IP выдаётся? Это отдельной услугой подключено?

[ilya.bulyndin]

Да, на модеме тоже белый. Прошу прощения, наверное, сразу нужно было написать.

[Незнайка]

Я ещё раз переспрошу на всякий случай - точно белый на модеме? Не из какой то 100.х.х.х. сети, как у Мегафона, например? То есть можете снаружи в web интерфейс модема попасть минуя туннель?

[ilya.bulyndin]

Да, адрес белый. Хоть и от Мегафона, но не 100.x. Из интернет модем доступен.

[Незнайка]

Понял, спасибо!

Тогда резюмирую: если на модеме Remote subnet netmask указана как /24, то всё работает, хосты сети 192.168.91.0/24 пингуют 172.31.224.146 и наоборот.

Как только мы меняем Remote subnet netmask на /16 (и, видимо,  Remote subnet IP на 192.168.0.0) - то с 172.31.224.146 можем пинговать хосты в сети 192.168.0.0/16, но в обратную сторону - нет. Я всё правильно понял?

[ilya.bulyndin]

Да, все правильно.

[Незнайка]

  Ну вот, наконец то попробовал.

Как  VPN сервер  использовал G3150A c белым адресом. Ну не знаю - у меня работает с маской /16. Только NAT Traversal у меня включен, т.к. на стороне G3150-HSPA серый адрес.

[Незнайка]