Ipsec работает нормально между mkt и openswan, следуя примеру с сайта mkt. Но у меня есть одна проблема — несколько подсетей LAN на стороне openswan не работают. Работает только та, чей пакет идет первым, и туннель устанавливается, а остальные — нет. Вот что я сделал: на стороне mkt одна WAN с интернетом. Один пир подключается к WAN стороне openswan с использованием 3des и md5, пул LAN-адресов 172.20.100.0/24 (исходный адрес). Две одинаковые политики, различие только в адресе назначения openswan LAN, например, одна политика с адресом назначения = 192.168.0.0/24 и другая с адресом назначения = 192.168.1.0/24, остальное оставил без изменений. На стороне openswan две соединения в конфигурации ipsec, сохранив все, кроме leftsubnet. Одно соединение с 192.168.0.0/24, другое с leftsubnet 192.168.1.0/24, сохранив все остальное, и безопасность ipsec с одним общим ключом, так как оно подключается к одному глобальному IP mkt.
Теперь как это работает: когда я пингу с mkt LAN 172.20.100.0/24 любой IP адрес openswan LAN (192.168.1.0/24 или 192.168.0.0/24), оно автоматически подключается и начинает пинговать другую сторону успешно. Проблема в том, что если сначала я пингую любой IP 192.168.0.0/24 с LAN mkt 172.20.100.0/24, он подключается через туннель и шифрование и начинает пинговать IP-адреса из пула 192.168.0.0/24, но не IP-адреса из пула 192.168.1.0/24. С другой стороны, если я сначала пингую любой IP 192.168.1.0/24 с LAN mkt 172.20.100.0/24, он подключается и начинает пинговать, но не другую подсеть openswan, т.е. 192.168.0.0/24. Это означает, что пакет, который идет первым до установки туннеля, маршрутизируется, но другая политика игнорируется… работает только одна в одно время. И если я пытаюсь пинговать другую подсеть, на консоли mkt выдает ошибку ISAK ключа. Но если WAN IP-адреса одинаковые и секрет тот же, обе подсети должны маршрутизироваться с использованием одного и того же ключа, нет ключей в политике и конфигурации соединения, ни в openswan, ни в mkt. Какова может быть проблема и если кто-то может сказать, как настроить несколько подсетей, используя ipsec туннель и один пир? Нужно ли устанавливать другой пир, в чем я сомневаюсь, и как это сделать? С уважением, Fiz.
Теперь как это работает: когда я пингу с mkt LAN 172.20.100.0/24 любой IP адрес openswan LAN (192.168.1.0/24 или 192.168.0.0/24), оно автоматически подключается и начинает пинговать другую сторону успешно. Проблема в том, что если сначала я пингую любой IP 192.168.0.0/24 с LAN mkt 172.20.100.0/24, он подключается через туннель и шифрование и начинает пинговать IP-адреса из пула 192.168.0.0/24, но не IP-адреса из пула 192.168.1.0/24. С другой стороны, если я сначала пингую любой IP 192.168.1.0/24 с LAN mkt 172.20.100.0/24, он подключается и начинает пинговать, но не другую подсеть openswan, т.е. 192.168.0.0/24. Это означает, что пакет, который идет первым до установки туннеля, маршрутизируется, но другая политика игнорируется… работает только одна в одно время. И если я пытаюсь пинговать другую подсеть, на консоли mkt выдает ошибку ISAK ключа. Но если WAN IP-адреса одинаковые и секрет тот же, обе подсети должны маршрутизироваться с использованием одного и того же ключа, нет ключей в политике и конфигурации соединения, ни в openswan, ни в mkt. Какова может быть проблема и если кто-то может сказать, как настроить несколько подсетей, используя ipsec туннель и один пир? Нужно ли устанавливать другой пир, в чем я сомневаюсь, и как это сделать? С уважением, Fiz.
