Привет,
Я пытаюсь оценить IPSEC-туннель между MT и WatchGuard box, использую стандартный IPSEC. Мне удалось успешно настроить туннель, и он отлично работает от WatchGuard box к MT, но в обратном направлении похоже, что MT не пересылает исходящие пакеты в туннель. Если я пингую с 192.168.1.x (внутренняя LAN WatchGuard) на 10.10.10.x (внутренняя LAN MT), всё в порядке, но с 10.10.10.x на 192.168.1.x это не работает: пакет выходит из MT без какой-либо адресации или туннелирования, хотя он правильно зашифрован. По моему мнению, IPSEC-политика должна делать всю работу… Нужно ли мне вручную добавить какой-то маршрут или правило брандмауэра на стороне MT?
Вот моя конфигурация (MT настроен с нуля):
/ ip ipsec policy add src-address=10.10.10.0/24:any dst-address=192.168.1.0/24:any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=217.141.182.122 sa-dst-address=217.141.182.98 proposal=Prova manual-sa=none dont-fragment=clear disabled=no
/ ip ipsec peer add address=217.141.182.98/32:500 secret=“blahblah” generate-policy=no exchange-mode=main send-initial-contact=yes proposal-check=exact hash-algorithm=md5 enc-algorithm=des dh-group=modp768 lifetime=1d lifebytes=0 disabled=no
/ ip ipsec proposal add name=“Prova” auth-algorithms=md5 enc-algorithms=des lifetime=1d lifebytes=0 pfs-group=none disabled=no
Спасибо большое за любые подсказки.
Riccardo Leonardi
Я пытаюсь оценить IPSEC-туннель между MT и WatchGuard box, использую стандартный IPSEC. Мне удалось успешно настроить туннель, и он отлично работает от WatchGuard box к MT, но в обратном направлении похоже, что MT не пересылает исходящие пакеты в туннель. Если я пингую с 192.168.1.x (внутренняя LAN WatchGuard) на 10.10.10.x (внутренняя LAN MT), всё в порядке, но с 10.10.10.x на 192.168.1.x это не работает: пакет выходит из MT без какой-либо адресации или туннелирования, хотя он правильно зашифрован. По моему мнению, IPSEC-политика должна делать всю работу… Нужно ли мне вручную добавить какой-то маршрут или правило брандмауэра на стороне MT?
Вот моя конфигурация (MT настроен с нуля):
/ ip ipsec policy add src-address=10.10.10.0/24:any dst-address=192.168.1.0/24:any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=217.141.182.122 sa-dst-address=217.141.182.98 proposal=Prova manual-sa=none dont-fragment=clear disabled=no
/ ip ipsec peer add address=217.141.182.98/32:500 secret=“blahblah” generate-policy=no exchange-mode=main send-initial-contact=yes proposal-check=exact hash-algorithm=md5 enc-algorithm=des dh-group=modp768 lifetime=1d lifebytes=0 disabled=no
/ ip ipsec proposal add name=“Prova” auth-algorithms=md5 enc-algorithms=des lifetime=1d lifebytes=0 pfs-group=none disabled=no
Спасибо большое за любые подсказки.
Riccardo Leonardi
