Zywall 110 и VPN IPSec

Vinchy

Добрый день!

Не понимаю, что делаю неправильно.

Исходя из настроек VPN, делаю Connection Check на Zywall на адрес 1.1.1.1 - проходит. На ubuntu tcpdump-ом видны пакеты. Прописываю в Static route адрес 1.1.1.1 маска 255.255.255.255 и интерфейс lan1 ..проверяю c zywal-a пингом..тоже видны пакеты tcpdump-ом.

Вместо адреса 1.1.1.1 прописываю 8.8.8.8 (пробовал разные), и так же пробую пинговать с zywal-a, ответ

ping 8.8.8.8 -n -c 3
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
From 192.168.1.1 icmp_seq=1 Destination Host Unreachable
From 192.168.1.1 icmp_seq=2 Destination Host Unreachable

Что-то с маршрутизацией? но не понимаю, где и как исправить.

Также пытаюсь для локальной сети прописать маршрут, т.е. уже в Policy Route ставлю

Source Address    LAN1_SUBNET

Destination Address    1.1.1.1

Next Hope   VPN Tunnel

                          Ubuntu

(остальное все по умолчанию) из локальной сети пингов нет. Ошибка - Request Time out.

На убунте файрвол открыт и из настроек сделал только

ip route add 192.168.1.1/32 dev vti01

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 9001 qdisc fq_codel state UP group default qlen 1000
    link/ether 12:24:cc:2b:d0:ed brd ff:ff:ff:ff:ff:ff
    inet 10.10.1.227/20 metric 100 brd 10.10.15.255 scope global dynamic eth0
       valid_lft 2369sec preferred_lft 2369sec
    inet6 fe80::1024:ccff:fe2b:d0ed/64 scope link
       valid_lft forever preferred_lft forever
3: ip_vti0@NONE: <NOARP> mtu 1480 qdisc noop state DOWN group default qlen 1000
    link/ipip 0.0.0.0 brd 0.0.0.0
4: vti01@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 8981 qdisc noqueue state UNKNOWN group default qlen 1000
    link/ipip 10.10.1.227 peer 51.32.56.38
    inet6 fe80::5efe:a0a:1e3/64 scope link
       valid_lft forever preferred_lft forever

По сути, кроме 1.1.1.1 больше ничего в туннель не заворачивается.

Помогите, пожалуйста!

Спасибо!

Zyxel_Andrew

Здравствуйте!

Проверьте настройки шлюза и Ubintu по нашей статье Базы Знаний: https://support.zyxel.eu/hc/ru/articles/5201771406098
(инструкция в приложенном к статье pdf-файле)

Vinchy

Добрый день!

Именно по этой инструкции я и настраивал VPN. Маршрутизацию на Ubuntu сделал как в инструкции (многократно перепроверил). Поэтому и странно почему не работает. Может есть смысл его сбросить в дефолт и перенастроить? уже просто не знаю, что можно еще сделать...

Zyxel_Andrew

Добрый день!
В политиках IPsec ( leftsubnet/rightsubnet для linux и local policy/remote policy для Zywall) укажите локальную сеть Zywall и требуемую подсеть google.
Будет так работать?

Vinchy

Добрый день!

Если я Вас правильно понял, заменить в настройках 1.1.1.1 на 8.8.8.8? Да, тогда начинает пинговаться 8.8.8.8, но перестает работать 1.1.1.1. Заворачивается в тоннель и пингуется только тот адрес, который есть в настройках ipsec. При пинге 1.1.1.1

PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.
From 192.168.1.1 icmp_seq=1 Destination Host Unreachable
From 192.168.1.1 icmp_seq=2 Destination Host Unreachable

Zyxel_Andrew

Добрый день!

Все верно. Видимо я не совсем верно понимаю вашу задачу. Опишите какой результат вы хотите получить в итоге.

Vinchy

Добрый день!

Идея в следующем. Zywall стоит в офисе в качестве шлюза и на нем поднят VPN для подключения удаленных сотрудников(это работает). Так же на Zywall поднят второй VPN для соединения с сервером, который расположен в облаке Amazon.

Так как работаю в иностранной компании, нужен доступ к западным ресурсам, чтобы не был виден российский IP. Т.е. я хотел прописать статический маршрут на доступ например к google.com, чтобы запрос отправлялся сразу в туннель. Таких сайтов достаточно много. И, соответственно, на каждый сайт прописать маршрут в туннель. Маршрутизацию добавить и для тех пользователей, которые работают в офисе и для тех, кто подключается к офисе по VPN. Такое можно реализовать? Если можно, что мне нужно изменить в конфигурации VPN?

Большое спасибо за помощь!

Zyxel_Andrew

Здравствуйте!

Вы можете настроить доступ к любым (всем) Интернет ресурсам через VPN туннель типа site-to-site используя политики маршрутизации (Policy Route) для Zywall. 
Пример правила на стороне локального шлюза:
Criteria.

Incoming (interface) = с какого локального интерфейса требуется доступ через VPN
Source Address = с каких адресов требуется доступ через VPN
Destination Address = к каким адресам требуется доступ через VPN (any если ко всем, FQDN объект если к какому-то конкретному).
Next-Hop.
Type = VPN Tunnel
VPN-Tunnel: имя туннеля

Так же требуется маршрутизация и SNAT на удаленном VPN шлюзе/сервере для трафика из туннеля.

В качестве удаленной политики IPsec подключения (VPN connection) для Zywall, а так же локальной политике удаленного VPN-сервера укажите сеть 0.0.0.0/0.