Ustanowiony tunel VPN - brak połączeń sieciowych

Witam, z góry przepraszam za ewentualne braki merytoryczne. Od dwóch tygodni próbuję bezskutecznie odtworzyć połączenie VPN pomiędzy dwoma lokalizacjami DOM oraz PRACA. Połączenie ustawione typu GATEWAY TO GATEWAY zestawione przy pomocy dwóch routerów LINKSYS WRVS4400N Wireless-N Gigabit Security Router with VPN. Poprzednio działało OK - DOM na usłudze VECTRA + PRACA na usłudze NETIA.
Obecnie zmieniłem połączenie VECTRY na ORANGE ŚWIATŁOWÓD 600 MB/s. Tu pojawił się problem. ORANGE dostarcza router FUNBOX 3.0 który nie daje się ustawić w tryb BRIDGE. Ponadto niema praktycznie żadnej dokumentacji dla tego urządzenia. Schemat podłączenia podałem w załączniku.

Po ustaleniach z ekspertami technicznymi ORANGE ustawiłem LINKSYSa w podsieci FUNBOXa.
Ustawienia
- na LINKSYS - WAN DHCP \
na FB3:
- ustawiałem dla LINKSYS - stały adres IP
- ustawiłem dla LINKSYS - DMZ
- ustawiłem zaporę sieciową na minimum
W rezultacie następuje połączenie tunelu VPN : log w załączeniu
ale żaden PING nie przechodzi do lokalizacji PRACA

Prośba o podpowiedź co może blokować połączenia wewnątrz tunelu VPN?



Dodano po 1 [minuty]:

Inny wariant który sprawdziłem bez powodzenia (tzn tunel ustanowiony - PING BRAK)
Ustawienia
- na LINKSYS - WAN DHCP \
na FB3:
- ustawiałem dla LINKSYS - stały adres IP
- ustawiłem - NAT przekierowanie portów 4500 i 500 na LINKSYS
- ustawiłem zaporę sieciową na minimum

Czy z vektrą miałeś linksysa z publicznym IP ?

Trochę podobny problem z innego forum:

Zmieniam dostawcę internetu - i tu pojawia się problem. Aktualnie mam router (na rysunku 2) z publicznym adresem IP na WAN.
Zmiana dostawcy pociąga konieczność instalacji drugiego routera z gniazdem światłowodowym (1). Na routerze 1 nie ma możliwości ustawienia trybu bridge.
Aktualnie na komputerze 3 pracuje serwer VPN i serwer plików. Za pomocą UPnP na routerze 2 przekierowane są porty na serwer 3.
Jak to ugryźć aby po podłączeniu routera 1 usługi na komputerze 3 nadal działały? Trzeba ustawić DMZ na 192.168.1.2 i przekierować odpowiednie proty? Czy inaczej do tego podejść.
Konieczność podłączenia podłączenia routera 1 wynika z faktu, iż łącze publiczne jest dostarczane za pomocą światłowodu.

Dzwoniłeś do orange aby przestawić funboxa w tryb bridge ?

w VEKTRze miałem LINKSYSa z publicznym IP

IPSec średnio działa jeśli oba końce tunelu nie mają publicznych IP. Albo chociaż przekierowanych odpowiednich portów. Może zmień na openvpn?

> ale żaden PING nie przechodzi do lokalizacji PRACA
testujesz z sieci x.0.x ?
nie ? to przetestuje,
tak ? pokaż "tracert -d x.x.1.x"

Nie ma możliwości ustawienia FB3 w tryb BRIDGE

https://networkengineering.stackexchange.com/...ns/41897/site-to-site-ipsec-tunnel-behind-nat

Może problem z przekierowaniem ESP protokołu, może DMZ w funbox-ie ma z tym problem ?

Dodano po 5 [minuty]:

Jesteś pewny że potrzebujesz site-to-site ? tzn tworzysz połączenia w kierunku BIURA do DOM ?

szwagros wrote:

IPSec średnio działa jeśli oba końce tunelu nie mają publicznych IP. Albo chociaż przekierowanych odpowiednich portów. Może zmień na openvpn?

Tunel jest ustanowiony - sprawdzałem logi VPN na obu LINKSYSACH coś blokuje np.PING

Dodano po 2 [minuty]:

bogiebog wrote:

https://networkengineering.stackexchange.com/questions/41897/site-to-site-ipsec-tunnel-behind-nat

Może problem z przekierowaniem ESP protokołu, może DMZ w funbox-ie ma z tym problem ?
Dodano po 5 [minuty]:
Jesteś pewny że potrzebujesz site-to-site ? tzn tworzysz połączenia w kierunku BIURA do DOM ?

Tak potrzebuję pracy w wirtualnym biurze (połączone podsieci)

Dodano po 1 [minuty]:

jfalk wrote:

szwagros wrote:

IPSec średnio działa jeśli oba końce tunelu nie mają publicznych IP. Albo chociaż przekierowanych odpowiednich portów. Może zmień na openvpn?

Tunel jest ustanowiony - sprawdzałem logi VPN na obu LINKSYSACH coś blokuje np.PING
Dodano po 2 [minuty]:

bogiebog wrote:

https://networkengineering.stackexchange.com/questions/41897/site-to-site-ipsec-tunnel-behind-nat

Może problem z przekierowaniem ESP protokołu, może DMZ w funbox-ie ma z tym problem ?
Dodano po 5 [minuty]:
Jesteś pewny że potrzebujesz site-to-site ? tzn tworzysz połączenia w kierunku BIURA do DOM ?

Tak potrzebuję pracy w wirtualnym biurze (połączone podsieci)

Ale głównie kierunek DOM > PRACA

> Tunel jest ustanowiony - sprawdzałem logi VPN na obu LINKSYSACH coś blokuje np.PING

Uruchom wireshark na obu komputerach, filtr=icmp
co widać ?

bogiebog wrote:

https://networkengineering.stackexchange.com/questions/41897/site-to-site-ipsec-tunnel-behind-nat

Może problem z przekierowaniem ESP protokołu, może DMZ w funbox-ie ma z tym problem ?
Dodano po 5 [minuty]:
Jesteś pewny że potrzebujesz site-to-site ? tzn tworzysz połączenia w kierunku BIURA do DOM ?

OK jak ustawić przekierowanie ESP ?

Na obu komputerach wyłącz zaporę.

bogiebog wrote:

> ale żaden PING nie przechodzi do lokalizacji PRACA
testujesz z sieci x.0.x ?
nie ? to przetestuje,
tak ? pokaż "tracert -d x.x.1.x"

PS C:\WINDOWS\system32> tracert -d 192.168.1.254

Tracing route to 192.168.1.254 over a maximum of 30 h

1 * 3 ms 2 ms 192.168.0.254
2 * * * Request timed out.
3 * * * Request timed out.
4 * * * Request timed out.
5 * * * Request timed out.
6 * * * Request timed out.
7 * * * Request timed out.
8 * * * Request timed out.

Dodano po 58 [sekundy]:

bogiebog wrote:

Na obu komputerach wyłącz zaporę.

Wyłączona na obu

W którą stronę zestawiasz połączenie ipsec ? spróbuj na odwrót.

bogiebog wrote:

W którą stronę zestawiasz połączenie ipsec ? spróbuj na odwrót.

To nie ma znaczenia. Obie strony muszą się widzieć. Co więcej, do samej transmisji danych tworzone są dwa tunele, każdy w inną stronę.

jfalk wrote:

Tunel jest ustanowiony - sprawdzałem logi VPN

To co widzisz w logach to faza 1 - negocjacja parametrów połączenia.
Dlatego zaproponowałem openvpn który to wiele rzeczy upraszcza przy zachowaniu tej samej funkcjonalności.

> ustawiłem - NAT przekierowanie portów 4500 i 500 na LINKSYS

przekieruj na komputer i sprawdź czy przekierowania dzialają poprawnie elvis listen port serwer

bogiebog wrote:

> ustawiłem - NAT przekierowanie portów 4500 i 500 na LINKSYS

przekieruj na komputer i sprawdź czy przekierowania dzialają poprawnie elvis listen port serwer

Rozumiem że chodzi o ustawienia NAT/PAT na FB3. Nie mogę przekierować na komputer bo to inna podsieć (patrz schemat 192.168.0.0/24)
Mogę zrobić przekierowanie na LINKSYS (podsieć 192.168.2.0/24)

Podłącz komputer do FB3 i wtedy sprawdź przekierowania.

Nie sprawdzi się w ten sposób przekierowania ESP, a to z nim jest problem.

szwagros wrote:

bogiebog wrote:

W którą stronę zestawiasz połączenie ipsec ? spróbuj na odwrót.

To nie ma znaczenia. Obie strony muszą się widzieć. Co więcej, do samej transmisji danych tworzone są dwa tunele, każdy w inną stronę.

jfalk wrote:

Tunel jest ustanowiony - sprawdzałem logi VPN

To co widzisz w logach to faza 1 - negocjacja parametrów połączenia.
Dlatego zaproponowałem openvpn który to wiele rzeczy upraszcza przy zachowaniu tej samej funkcjonalności.

To co jest w logach to pełny zapis - tylko tzw. tryb Aggressive Mode

Po dwóch tygodniach walki rozwiązałem umowę z ORANGE. Zadziwia mnie brak wyobraźni u decydentów tej firmy. W całym internecie jest masa postów nt. problemów z routingiem oraz vpn na usłudze
z FUNBOXEM 3.0. Czyżby internet światłowód 600 MB/s miał służyć tylko do gier i oglądania filmów. A co z rosnącą rzeszą osób pracujących zdalnie. Chcesz pracować w domu zdalnie zakładaj pakiet bussinesowy ze stałym IP i normalnym routerem który posiada normalną instrukcję oraz dokumentację. Ale wtedy zapominij o telewizji, ta chodzi tylko z tym nieszczęsnym FUNBOXEM 3.0.
U innych jest wolniej ale normalnie. Zamykam temat.
Dzięki za wsparcie.