forum.lissyara.su

цель - удаленка в офис произвольного клиента (Win/mac/ios/android) из произвольного места), в офисе зухель usg40
на зухеле настроен l2tp/ipsec сервер согласно инструкции https://zyxel.ru/kb/2270/
клиент подключается, но один клиент не получает ip пира , а другой вываливается ошибка типа 651 - модем или др. устройство связи не ответило вовремя. клиенты за натом
на подключившемся клиенте настораживает что маска /32, во вторых - на сервере нет интерфейса в подсети пула, в третьих - непонятно как оно маршрутизируется внутри зухеля
что я упускаю? или где не туда поворачиваю?...

Клиенты и сервер находятся в одной подсети ?
----------------------
1. За маску не переживайте
2. Если zyxel является шлюзом для сервера - то всё хорошо
3. encryption domain aka traffic selector решит самостоятельно в какой туннель отправлять ответ
----------------------
С zyxel никогда не работал, но:
1. Проверьте настройки firewall для входящих соединений. (Возможно провайдер режет трафик).
2. После установки подключения проверьте на рутере есть ли активные ipsec туннели

да, клиенты и сервер в одной подсети. может это неправильно...
зухель является дефолтным шлюзом для всей 191-й подсети
пров не блочит. вместо файера т.н. security polices ничего не ловят на запрещаюющем правиле
да, после уставноления соединения с клиента на зухеле появляется активный ipsec тонель и второй злогиненый юзер (один - по вебмордеЮ, второй - по впн)

покрутил policy routing - типа динамическая маршрутизация на основе правил - добился что по тонелю зухель (.191.1) пингуется, машины за ним (например .191.8 ) не пингуются, и зухель стал отвечать что заданая сеть не доступна.

сам зухель по тоннелю доступен

Если я правильно понял, теперь клиент не видит устройства за zyxel из 192.168.191.0/24 ?
В инструкции https://zyxel.ru/kb/2270/ удалённая подсеть и l2tp pool - разные подсети. Скорее всего подразумевается что для vpn-клиента zyxel становится default gateway. Проблема в том, что l2tp не умеет делать сплит, а это очень неудобно.
После установки vpn подключения:
- проверьте есть ли arp-запись на стороне клиента при попытке пинга сервера из подсети 191.
- проверьте настройки сетевых интерфейсов на zyxel. Необходимо включить что-то типа proxy-arp.

arp запись на клиенте есть.
любопытный момент, пару раз при настройке полиси роутинга проскакивал ответ на пинг
ответ про недоступность - по идее говорит о том что зухель не может смаршрутизировать мой пакет. блин как o_O
по адресации они в мануалах обычно говорят что l2tp подсеть и локальная - это разные, и для доступа из одной в другую надо что то крутить

1. если zyxel доступен и транслирует arp запросы, в таком случае запускайте wireshark/tcpdump на сервере и смотрите доходят ли до сервера icmp запросы.
2. если у ipsec туннеля есть счётчики, проверьте кол-во входящих и исходящих пакетов в туннеле.

все починил, всем спасибо
идея напнуть tcpdump на машинке внутри хороша
просто выдать клиенту ип из той же сетки не получилось, не помню почему
реализовал такую схему:
l2tp пул сделал из другой сетки , и на выходе из тонеля (в настройках ipsec)поставил destination nat, на входе - source nat

не совсем так, как хотелось, но работает
буду еще курить