Проверка работы IPsec туннеля

Проверка работы IPsec туннеля между сетью филиала и сетью центрального офиса проводится идентично проверке, предложенной для соединения «Client1 – сеть центрального офиса» с тем исключением, что соединение не создается автоматически при логине как в «С-Терра Клиент». Для того, чтобы появился туннель нужно инициировать соединение со стороны сети филиала.

Для этого на устройстве host_behind_spoke1 воспользуемся командой ping:

root@host-behind-spoke1:~# ping 192.168.100.100

root@host-behind-spoke1:~# ping 192.168.100.100

PING 192.168.100.100 (192.168.100.100) 56(84) bytes of data.

64 bytes from 192.168.100.100: icmp_seq=2 ttl=61 time=1.30 ms

64 bytes from 192.168.100.100: icmp_seq=3 ttl=61 time=1.13 ms

64 bytes from 192.168.100.100: icmp_seq=4 ttl=61 time=1.69 ms

64 bytes from 192.168.100.100: icmp_seq=5 ttl=61 time=1.58 ms

64 bytes from 192.168.100.100: icmp_seq=6 ttl=61 time=1.24 ms

64 bytes from 192.168.100.100: icmp_seq=7 ttl=61 time=1.25 ms

^C

--- 192.168.100.100 ping statistics ---

7 packets transmitted, 6 received, 14.2857% packet loss, time 43ms

rtt min/avg/max/mdev = 1.128/1.364/1.693/0.204 ms

После этого факт установления соединения можно также подтвердить при помощи команды sa_mgr show (в выводе с Hub1-n2 видно также и соединение с удаленным VPN клиентом):

root@Spoke1:~# sa_mgr show

ISAKMP sessions: 0 initiated, 0 responded

 

ISAKMP connections:

Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd

1 36 (172.16.1.2,500)-(172.16.100.20,500) active 1908 1836

 

IPsec connections:

Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd

1 41 (192.168.1.0-192.168.1.255,*)-(192.168.100.0-192.168.100.255,*) * ESP tunn 616 528

root@Hub1-n2:~# sa_mgr show

ISAKMP sessions: 0 initiated, 0 responded

 

ISAKMP connections:

Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd

1 14 (172.16.100.20,4500)-(172.16.2.2,4500) active 1936 2904

2 15 (172.16.100.20,500)-(172.16.1.2,500) active 1836 1908

 

IPsec connections:

Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd

1 32 (192.168.100.0-192.168.100.255,*)-(192.168.255.129,*) * ESP nat-t3-tunn 640 640

2 33 (192.168.100.0-192.168.100.255,*)-(192.168.1.0-192.168.1.255,*) * ESP tunn 528 616

На устройстве Router1 также должен появиться маршрут до сети филиала:

root@Router1:~# ip route

192.168.1.0/24 via 192.168.200.20 dev ens192 proto bgp metric 20

192.168.100.0/24 dev ens224 proto kernel scope link src 192.168.100.1

192.168.200.0/24 dev ens192 proto kernel scope link src 192.168.200.1

192.168.255.129 via 192.168.200.20 dev ens192 proto bgp metric 20