IpSec VPN with Oxygen Multigateway routers

[tpapas]

Καλησπέρα, αν κάποιος μπορεί να με διαφωτίσει με αυτό το θέμα που πάει να με τρελάνει...
Έχω 2 εγκαταστάσεις, με 2 VDSL από τον Cosmote, στατικές IP και στα 2 άκρα, με 2 πανομοιότυπα Oxygen Multigateway.
Στήνω ένα IPSec το οποίο λειτουργεί, κάνει δλδ connect και μάλιστα ανάβει και το πράσινο ενδεικτικό στο home page.
Από εκεί και πέρα όμως τίποτα... ping δεν επιστρέφει τπτ κλπ.
Επίσης και στα 2 άκρα έχει βγει το έξτρα firewall που βάζει ο Cosmote.

Γνωρίζει κάποιος τι μπορεί να φταίει?!

[sxbcl]

Τα local και remote subnets στο τέλος των ρυθμίσεων τα έχετε ορίσει;
Γενικά μιλώντας θα πρέπει το ένα δίκτυο να είναι π.χ. 192.168.1.0/24 και το άλλο 192.168.2.0/24 και να οριστούν αυτά αντίστροφα στα δύο Oxygen

[tpapas]

Τα local και remote subnets στο τέλος των ρυθμίσεων τα έχετε ορίσει;
Γενικά μιλώντας θα πρέπει το ένα δίκτυο να είναι π.χ. 192.168.1.0/24 και το άλλο 192.168.2.0/24 και να οριστούν αυτά αντίστροφα στα δύο Oxygen

Ευχαριστώ για την απάντηση... Ναι εννοείται ότι αυτά είναι σωστά στημένα!

[Space21]

Συνήθως στο IPSec φτίαχνουμε και κανόνα NO NAT. Δηλαδή να μην κάνει ΝΑΤ το source δίκτυο προς το απέναντι δίκτυο.
Αυτό θα πρέπει να το κάνεις και απο τις 2 μερίες. Δεν γνωρίζω όμως που βρίσκετε αυτή η επιλογή σε αυτά τα routers.

[sxbcl]

Συνήθως στο IPSec φτίαχνουμε και κανόνα NO NAT. Δηλαδή να μην κάνει ΝΑΤ το source δίκτυο προς το απέναντι δίκτυο.
Αυτό θα πρέπει να το κάνεις και απο τις 2 μερίες. Δεν γνωρίζω όμως που βρίσκετε αυτή η επιλογή σε αυτά τα routers.

Έχεις δίκιο σε αυτό σε ότι αφορά routers όπως τα Mikrotik, αλλά δεν υπάρχει τέτοια επιλογή στο Oxygen. Μάλλον το ενεργοποιεί αυτόματα με την εγκατάσταση του tunnel.

Εγώ να ρωτήσω κάτι άλλο. Προς τα που γίνεται η προσπάθεια για ping; Από κάποιο PC του ενός δικτύου προς άλλο του άλλου δικτύου, προς τον απομακρυσμένο router...;

[Space21]

Δεν ρίχνεις μια ματία εδώ

https://help.cosmote.gr/system/templ...1_3.6.2ote.pdf

σελίδα 163.

θα σου έλεγα να κάνεις ping από κάποιο εσωτερικό host προς κάποιο απομακρυσμένο host, γιατί αν μπλέξεις με τα router θα πρέπει να βάζεις και το αντίστοιχο source interface.

[sxbcl]

Δεν ρίχνεις μια ματία εδώ

https://help.cosmote.gr/system/templ...1_3.6.2ote.pdf

σελίδα 163.

θα σου έλεγα να κάνεις ping από κάποιο εσωτερικό host προς κάποιο απομακρυσμένο host, γιατί αν μπλέξεις με τα router θα πρέπει να βάζεις και το αντίστοιχο source interface.

Τώρα πρόσεξα στο manual που παράθεσες ότι λέει:
NAT-T, to be checked if VPN traffic passes through NAT
Ίσως πρέπει να είναι αυτό απενεργοποιημένο και στα δύο σημεία.

[tpapas]

Τώρα πρόσεξα στο manual που παράθεσες ότι λέει:
NAT-T, to be checked if VPN traffic passes through NAT
Ίσως πρέπει να είναι αυτό απενεργοποιημένο και στα δύο σημεία.

Το δοκίμασα και απενεργοποιημένο δεν άλλαξε τίποτα...

[sxbcl]

Αν κάνεις traceroute από ένα PC του δικτύου 192.168.1.0/24 προς εναν του 192.168.10.0/24 ή το αντίστροφο, τι σου βγάζει;
Μπορείς να δώσεις ένα screenshot;

[tpapas]

Αν κάνεις traceroute από ένα PC του δικτύου 192.168.1.0/24 προς εναν του 192.168.10.0/24 ή το αντίστροφο, τι σου βγάζει;
Μπορείς να δώσεις ένα screenshot;

Το είχα ήδη κάνει αυτό... σταματάει στο gateway (και από τις 2 μεριές):

Microsoft Windows [Version 10.0.19042.804]
(c) 2020 Microsoft Corporation. All rights reserved.

C:\tracert 192.168.10.6

Tracing route to 192.168.10.6 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms oxygen.lan [192.168.1.5]
2 * * * Request timed out.
3

[sxbcl]

Το είχα ήδη κάνει αυτό... σταματάει στο gateway (και από τις 2 μεριές):

Microsoft Windows [Version 10.0.19042.804]
(c) 2020 Microsoft Corporation. All rights reserved.

C:\tracert 192.168.10.6

Tracing route to 192.168.10.6 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms oxygen.lan [192.168.1.5]
2 * * * Request timed out.
3

Επειδή δεν μπορώ με το δικό μου setup να το δω στο δικό μου Oxygen, αν κάνεις τα αντίστοιχα static routes, υπάρχουν νέα "Connections" κάτι με VPN;
Εννοώ το εξής. Δημιουργείς στο 192.168.1.5 ένα static route με Destination 192.168.10.0/24, και αν στο connection έχει κάτι καινούριο σε σχέση με το VPN αφού αυτό έχει συνδεθεί. Αν υπάρχει κάτι, το αντίστοιχο στο άλλο Oxygen.

[Space21]

Τώρα πρόσεξα στο manual που παράθεσες ότι λέει:
NAT-T, to be checked if VPN traffic passes through NAT
Ίσως πρέπει να είναι αυτό απενεργοποιημένο και στα δύο σημεία.

Αυτό είναι το NAT-Traversal. Αν το IPSec tunnel περνάει μέσα από NATted δίκτυο. Στην δικία σου περίπτωση νομίζω πως δεν περνάει μιας και τα routerakia σου είναι το default gateway των δικτύων σου.

[tpapas]

Αυτό είναι το NAT-Traversal. Αν το IPSec tunnel περνάει μέσα από NATted δίκτυο. Στην δικία σου περίπτωση νομίζω πως δεν περνάει μιας και τα routerakia σου είναι το default gateway των δικτύων σου.

Το ακούω κι αυτό... αλλά... Το VPN έπαιζε μια χαρά με τα ίδια routers και τα ίδια settings μέχρι που άλλαξα τηλεφωνικό αριθμό και μου έφεραν καινούριο router.. δεν τα είπα αυτά γιατί δεν ήθελα να σας ζαλίσω με λεπτομέρειες, όμως πριν 3 βδομάδες που μου έβαλαν μια καινούρια γραμμή όλα δούλευαν ρολόι, μπήκε η καινούρια γραμμή, καινούριο router (restored config from the original router) άρα με τα ίδια ακριβώς settings με το προηγούμενο και τα γνωστά αποτελέσματα με το VPN να είναι operational με πράσινη ένδειξη αλλά να μην δουλεύει...
Στο προηγούμενο status, έκανα ping κανονικά, δούλευα με το VNC σαν να ήμουν local, όλα τέλεια, και επιπλέον το VPN είχε στηθεί για πλάκα, δλδ με το που πέρασα τις ρυθμίσεις λειτεόυργησε άμεσα χωρίς κανένα πρόβλημα.
Γι αυτό λέω ότι πάει να με τρελάνει αυτό τώρα!

[sxbcl]

Το ακούω κι αυτό... αλλά... Το VPN έπαιζε μια χαρά με τα ίδια routers και τα ίδια settings μέχρι που άλλαξα τηλεφωνικό αριθμό και μου έφεραν καινούριο router.. δεν τα είπα αυτά γιατί δεν ήθελα να σας ζαλίσω με λεπτομέρειες, όμως πριν 3 βδομάδες που μου έβαλαν μια καινούρια γραμμή όλα δούλευαν ρολόι, μπήκε η καινούρια γραμμή, καινούριο router (restored config from the original router) άρα με τα ίδια ακριβώς settings με το προηγούμενο και τα γνωστά αποτελέσματα με το VPN να είναι operational με πράσινη ένδειξη αλλά να μην δουλεύει...
Στο προηγούμενο status, έκανα ping κανονικά, δούλευα με το VNC σαν να ήμουν local, όλα τέλεια, και επιπλέον το VPN είχε στηθεί για πλάκα, δλδ με το που πέρασα τις ρυθμίσεις λειτεόυργησε άμεσα χωρίς κανένα πρόβλημα.
Γι αυτό λέω ότι πάει να με τρελάνει αυτό τώρα!

Μήπως η έκδοση firmware του νέου router είναι διαφορετική, αφού όλα τα άλλα είναι ίδια;
Ίσως να πρέπει να το δηλώσεις βλάβη στην Cosmote

[tpapas]

Μήπως η έκδοση firmware του νέου router είναι διαφορετική, αφού όλα τα άλλα είναι ίδια;
Ίσως να πρέπει να το δηλώσεις βλάβη στην Cosmote

Το έχω ήδη δηλώσει και περιμένω μέρες... με μνμτα τους, τύπου η βλάβη είναι ακόμα στα υπ όψη κλπ κλπ, επίσης τα firmware είναι ίδια.

Κοίτα κι άλλο ένα παράδοξο... από το 192.168.10.χ κάνω Ping στο 192.168.1.10 που είναι εδώ το τοπικό μου PC και τίποτα... Όμως όταν το κάνω στο 1.45 που υπάρχει rule στο router γιατί το βγάζω στο Internet (είναι ένας mini server) αυτό απαντάει... Δεν ξέρω αν σας λέει κάτι αυτό?!

C:\>ping 192.168.1.10

Pinging 192.168.1.10 with 32 bytes of data:
Request timed out.
Request timed out.

Ping statistics for 192.168.1.10:
Packets: Sent = 2, Received = 0, Lost = 2 (100% loss),
Control-C
^C
C:\>ping 192.168.1.45

Pinging 192.168.1.45 with 32 bytes of data:
Reply from 192.168.1.45: bytes=32 time=44ms TTL=126
Reply from 192.168.1.45: bytes=32 time=43ms TTL=126
Reply from 192.168.1.45: bytes=32 time=43ms TTL=126
Reply from 192.168.1.45: bytes=32 time=44ms TTL=126

Ping statistics for 192.168.1.45:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 43ms, Maximum = 44ms, Average = 43ms