IPSEC site-to-site USG60 и Ubiquity Dream Machine pro

Всем привет!

Уже несколько дней безуспешно пытаюсь подключить USG60 к Unifi Dream machine pro.  На USG60 уже поднято несколько туннелей IPSEC (с Cisco ASA и DLINK DFL)

Конфигурация Unifi DM PRO

WAN IP - статика IPv4 (далее "OfficeIP" ), PPPoE соединение с ISP

Локальная подсеть, которую надо завернуть в туннель: 192.168.214.0/24 




Конфигурация Zyxel USG

WAN IP - статика IPv4 (далее "ServerFarmIP"), за 1:1 натом ( тупой ONT терминал не может работать в режиме моста, поэтому форвардим все порты на локальный IP хоста USG60 192.168.1.66) IPSEC-у это не мешает, сейчас работают 2 туннеля 

Gateway:



Connection:



Туннель при нажатии "подсоединить" не устанавливается 

Не знаю, как проверить логи подключения vpn в UDM, вот что у USG 

Буду признателен за любую помощь

Спасибо! 


All Replies

  • DobriyDed
    DobriyDed Публикаций: 6
    First Anniversary First Comment
    Новости:
    Туннель от UDM pro до Cisco ASA поднялся без проблем с теми же настройками 
    Затык точно со стороны Zyxel-я 


  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 565  Zyxel Employee
    First Anniversary 10 Comments Friend Collector First Answer
    Здравстуйте.
    Можете прислать файл конфигурации USG60 в ЛС?
  • DobriyDed
    DobriyDed Публикаций: 6
    First Anniversary First Comment
    отредактировано ноября 2021
    Zyxel_Andrew написал:
    Здравстуйте.
    Можете прислать файл конфигурации USG60 в ЛС?

    Выслал позавчера
    Надеюсь, что проблема все же преодолима  :)
  • onatoli4
    onatoli4 Публикаций: 207  Zyxel Employee
    First Anniversary 10 Comments Nebula Gratitude Friend Collector
    Попробуйте выставить значения Local и Peer ID (на первой фазе IPSec) на USG и Dream.
    Local ID = внешний публичный IP-адрес устройства (тот который на ONU или на WAN PPPoE Dream)
    Peer ID = внешний публичный IP-адрес удаленного устройства
  • DobriyDed
    DobriyDed Публикаций: 6
    First Anniversary First Comment
    отредактировано декабря 2021
    onatoli4 написал:
    Попробуйте выставить значения Local и Peer ID (на первой фазе IPSec) на USG и Dream.
    Local ID = внешний публичный IP-адрес устройства (тот который на ONU или на WAN PPPoE Dream)
    Peer ID = внешний публичный IP-адрес удаленного устройства
    На UDM pro так и указано, терминал в режиме моста.

    На USG60 в качестве локального "my address/interface" первой фазы можно указать только IP wan интерфейса 192.168.1.xxx т.к. ONU не может работать в режиме моста, и сделан 1:1 NAT (портфорвард всех портов, кроме 2 служебных) на интерфейс WAN у USG60 , который имеет локальный IP (192.168.1.xxx)

    Выбрать реальный IP, за которым сидит USG нет возможности, т.к. там выбираются только интерфейсы, нет возможности руками забить статику. 

    Эта схема работает, USG60 прекрасно держит IPSEC тоннели с двумя Cisco ASA и одним DLINK DFL