при следующих условиях инициатором маршрута может быть только firewall2, т.е когда пингую с файервола 2 туннель создается когда с фаервола1 то нет, в чем может быть причина?
в мануале для netdefendos нашел следующие слова, но это не совсем подходит под мою ситуацию
1. Только одна сторона может инициировать установку туннеля
Причиной данной проблемы является несоответствие размера в локальной или удаленной сети и/или
настройки срока действия в предлагаемом списке (-ах).
Для поиска и устранения данной проблемы необходимо проверить настройки для локальной сети,
удаленной сети, списка IKE proposal и списка IPsec на обеих сторонах для идентификации
несоответствия.
Например, предположим, что в каждой точке туннеля установлены следующие IPsec-настройки:
• Сторона А
Локальная сеть = 192.168.10.0/24
Удаленная сеть = 10.10.10.0/24
• Сторона Б
Локальная сеть = 10.10.10.0/24
Удаленная сеть = 192.168.10.0/16
В данном сценарии указанный диапазон адресов удаленной сети на стороне Б больше, чем на
стороне А. Это означает, что только сторона А может успешно инициировать установку туннеля к
стороне Б, так как размер ее сети меньше. Когда сторона Б пытается установить туннель, сторона А
отклоняет эту попытку, так как размер сети больше, чем указано. Причина заключается в том, что
сети с меньшим размером являются более защищенными. Это также относится к сроку действия в
списках proposal.
фаервол1
Local Network: 192.168.10.0/24, 192.168.210.0/24
Remote Network: 172.16.0.0/16, 192.168.5.0/24
фаервол2
Local Network: 172.16.0.0/16, 192.168.5.0/24
Remote Network: 192.168.10.0/24, 192.168.210.0/24
Вход
Регистрация
FAQ
Поиск
. Для того, чтобы рулить, чему можно, а чему нельзя лезть в туннель -- есть IP Rules. А маршруты пишите ручками (галку автоматического создания снимите).