IPSEC site-to-site USG60 и Ubiquity Dream Machine pro

DobriyDed
DobriyDed Публикаций: 6  Freshman Member
First Comment Second Anniversary
Раздел: Техническая поддержка
Всем привет!

Уже несколько дней безуспешно пытаюсь подключить USG60 к Unifi Dream machine pro.  На USG60 уже поднято несколько туннелей IPSEC (с Cisco ASA и DLINK DFL)

Конфигурация Unifi DM PRO

WAN IP - статика IPv4 (далее "OfficeIP" ), PPPoE соединение с ISP

Локальная подсеть, которую надо завернуть в туннель: 192.168.214.0/24 




Конфигурация Zyxel USG

WAN IP - статика IPv4 (далее "ServerFarmIP"), за 1:1 натом ( тупой ONT терминал не может работать в режиме моста, поэтому форвардим все порты на локальный IP хоста USG60 192.168.1.66) IPSEC-у это не мешает, сейчас работают 2 туннеля 

Gateway:



Connection:



Туннель при нажатии "подсоединить" не устанавливается 

Не знаю, как проверить логи подключения vpn в UDM, вот что у USG 

Буду признателен за любую помощь

Спасибо! 


All Replies

  • DobriyDed
    DobriyDed Публикаций: 6  Freshman Member
    First Comment Second Anniversary
    Новости:
    Туннель от UDM pro до Cisco ASA поднялся без проблем с теми же настройками 
    Затык точно со стороны Zyxel-я 


  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Здравстуйте.
    Можете прислать файл конфигурации USG60 в ЛС?
  • DobriyDed
    DobriyDed Публикаций: 6  Freshman Member
    First Comment Second Anniversary
    отредактировано ноября 2021
    Zyxel_Andrew написал:
    Здравстуйте.
    Можете прислать файл конфигурации USG60 в ЛС?

    Выслал позавчера
    Надеюсь, что проблема все же преодолима  :)
  • onatoli4
    onatoli4 Публикаций: 211  Zyxel Employee
    Network Detective Badge 25 Answers First Comment Friend Collector
    Попробуйте выставить значения Local и Peer ID (на первой фазе IPSec) на USG и Dream.
    Local ID = внешний публичный IP-адрес устройства (тот который на ONU или на WAN PPPoE Dream)
    Peer ID = внешний публичный IP-адрес удаленного устройства
  • DobriyDed
    DobriyDed Публикаций: 6  Freshman Member
    First Comment Second Anniversary
    отредактировано декабря 2021
    onatoli4 написал:
    Попробуйте выставить значения Local и Peer ID (на первой фазе IPSec) на USG и Dream.
    Local ID = внешний публичный IP-адрес устройства (тот который на ONU или на WAN PPPoE Dream)
    Peer ID = внешний публичный IP-адрес удаленного устройства
    На UDM pro так и указано, терминал в режиме моста.

    На USG60 в качестве локального "my address/interface" первой фазы можно указать только IP wan интерфейса 192.168.1.xxx т.к. ONU не может работать в режиме моста, и сделан 1:1 NAT (портфорвард всех портов, кроме 2 служебных) на интерфейс WAN у USG60 , который имеет локальный IP (192.168.1.xxx)

    Выбрать реальный IP, за которым сидит USG нет возможности, т.к. там выбираются только интерфейсы, нет возможности руками забить статику. 

    Эта схема работает, USG60 прекрасно держит IPSEC тоннели с двумя Cisco ASA и одним DLINK DFL

Разделы

Центр Помощи Zyxel

EnglishTiếng ViệtРусскийไทย中文(台灣)