проблема с ipsec\l2tp на zywall usg40

[FreeBSP]

цель - удаленка в офис произвольного клиента (Win/mac/ios/android) из произвольного места), в офисе зухель usg40
на зухеле настроен l2tp/ipsec сервер согласно инструкции https://zyxel.ru/kb/2270/
клиент подключается, но один клиент не получает ip пира , а другой вываливается ошибка типа 651 - модем или др. устройство связи не ответило вовремя. клиенты за натом
на подключившемся клиенте

Код: Выделить всё

Адаптер PPP RO:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : RO
   Физический адрес. . . . . . . . . :
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.191.10(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.255
   Основной шлюз. . . . . . . . . :
   DNS-серверы. . . . . . . . . . . : 192.168.191.1
   NetBios через TCP/IP. . . . . . . . : Включен

настораживает что маска /32, во вторых - на сервере нет интерфейса в подсети пула, в третьих - непонятно как оно маршрутизируется внутри зухеля
что я упускаю? или где не туда поворачиваю?...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[gumeniuc]

Клиенты и сервер находятся в одной подсети ?
----------------------
1. За маску не переживайте
2. Если zyxel является шлюзом для сервера - то всё хорошо
3. encryption domain aka traffic selector решит самостоятельно в какой туннель отправлять ответ
----------------------
С zyxel никогда не работал, но:
1. Проверьте настройки firewall для входящих соединений. (Возможно провайдер режет трафик).
2. После установки подключения проверьте на рутере есть ли активные ipsec туннели

[FreeBSP]

да, клиенты и сервер в одной подсети. может это неправильно...
зухель является дефолтным шлюзом для всей 191-й подсети
пров не блочит. вместо файера т.н. security polices ничего не ловят на запрещаюющем правиле
да, после уставноления соединения с клиента на зухеле появляется активный ipsec тонель и второй злогиненый юзер (один - по вебмордеЮ, второй - по впн)

покрутил policy routing - типа динамическая маршрутизация на основе правил - добился что по тонелю зухель (.191.1) пингуется, машины за ним (например .191.8 ) не пингуются, и зухель стал отвечать что заданая сеть не доступна.

сам зухель по тоннелю доступен

[gumeniuc]

Если я правильно понял, теперь клиент не видит устройства за zyxel из 192.168.191.0/24 ?
В инструкции https://zyxel.ru/kb/2270/ удалённая подсеть и l2tp pool - разные подсети. Скорее всего подразумевается что для vpn-клиента zyxel становится default gateway. Проблема в том, что l2tp не умеет делать сплит, а это очень неудобно.
После установки vpn подключения:
- проверьте есть ли arp-запись на стороне клиента при попытке пинга сервера из подсети 191.
- проверьте настройки сетевых интерфейсов на zyxel. Необходимо включить что-то типа proxy-arp.

[FreeBSP]

arp запись на клиенте есть.
любопытный момент, пару раз при настройке полиси роутинга проскакивал ответ на пинг
ответ про недоступность - по идее говорит о том что зухель не может смаршрутизировать мой пакет. блин как o_O
по адресации они в мануалах обычно говорят что l2tp подсеть и локальная - это разные, и для доступа из одной в другую надо что то крутить

[gumeniuc]

1. если zyxel доступен и транслирует arp запросы, в таком случае запускайте wireshark/tcpdump на сервере и смотрите доходят ли до сервера icmp запросы.
2. если у ipsec туннеля есть счётчики, проверьте кол-во входящих и исходящих пакетов в туннеле.

[FreeBSP]

все починил, всем спасибо
идея напнуть tcpdump на машинке внутри хороша
просто выдать клиенту ип из той же сетки не получилось, не помню почему
реализовал такую схему:
l2tp пул сделал из другой сетки , и на выходе из тонеля (в настройках ipsec)поставил destination nat, на входе - source nat

не совсем так, как хотелось, но работает
буду еще курить