L2TP + ipsec irz rl21 openwrt на нестандартный порт

Если есть IPSEC, то нестандартные порты - это сразу нет. Гугли в сторону NAT Traversal, но это всё очень чугуниево там и шаг влево-шаг вправо от рекомендуемой конфигурации для пары «клиент-сервер» = тыква.

Ipsec это 500 4500, у меня же l2tp + ipsec, сейчас через psk, потом приаттачу серты. На стенде, без проброса портов, на 1701 все клиенты коннектятся, наружу торчит кастомный порт, который транслируется на 1701 сервера и вот тут затык. По идее на клиенте достаточно изменить в xl2tpd.conf в секции global значение port, но так не завелось. Как мне кажется, смотрю не в ту сторону и нужно поднять чесный ipsec ikev2, без всяких l2tp. Поддержка irz, по вопросу кастомных портов и доп. опций, послала в гуглоянекс на тему openwrt.

клиент-сервер» = тыква.

Вот как раз пока только одни бахчевые и получаются) Блин, а мне еще ко всему этому потом два микрота прикрутить нужно будет.

и нужно поднять чесный ipsec ikev2, без всяких l2tp

IPSec это «немного» не про «порты» ака udp|tcp и другие icmp

1701 порт - это уже потом, сначала IPSEC, а потом поверх него уже L2TP. Обрати внимание на рисунок «Шифрованный трафик L2TP туннеля»

Перенастроил сервер, сейчас клиент при подключении останавливается на фазе 1, в логах на обеих сторонах вот это:

checking certificate status of "C=RU, O=Example Company, CN=TestUser@х.х.х.х"
12[CFG] certificate status is not available
12[IKE] authentication of 'C=RU, O=Example Company, CN=TestUser@х.х.х.х' with RSA_EMSA_PKCS1_SHA2_256 successful
12[IKE] peer supports MOBIKE
12[IKE] authentication of 'х.х.х.х' (myself) with RSA_EMSA_PKCS1_SHA2_256 successful
12[IKE] sending end entity cert "C=RU, O=Example Company, CN=х.х.х.х"
12[IKE] IKE_SA rw[3] established between 10.115.130.16[х.х.х.х]...95.153.129.183[C=RU, O=Example Company, CN=TestUser@х.х.х.х]
12[IKE] scheduling rekeying in 13064s
12[IKE] maximum IKE_SA lifetime 14504s
12[IKE] traffic selectors 0.0.0.0/0 === 10.247.76.16/32 unacceptable
12[IKE] failed to establish CHILD_SA, keeping IKE_SA
12[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH N(MOBIKE_SUP) N(NO_ADD_ADDR) N(TS_UNACCEPT) ]
12[ENC] splitting IKE message (1520 bytes) into 2 fragments
12[ENC] generating IKE_AUTH response 1 [ EF(1/2) ]
12[ENC] generating IKE_AUTH response 1 [ EF(2/2) ]

traffic selectors 0.0.0.0/0 === 10.247.76.16/32 unacceptable

Я правильно понимаю что не правильно настроены субнеты правой и левой стороны.

Реализую данный сценарий

10.1.0.0/16 – | 192.168.0.1 | === | x.x.x.x | – 10.3.0.1 moon-net moon carol virtual IP

Я правильно понимаю что не правильно настроены субнеты правой и левой стороны.

Угу, в эту сторону копать. Это параметры left* right* в ipsec.conf(название может быть другим, зависит от дистра) и ему приглашающиеся(зависит от дистра)

Сервером выступает centos 8 со strongswan на борту, клиентами irz c openwrt(порядка 50 штук), ладно буду разбираться дальше.

со strongswan на борту

Ну тогда точно то, что я написал выше про left/right.

10.247.76.16/32 - серый ip внутри мтс Но соединение изначально поднимается с 95.153.129.247 - серый ip смотрящий в мир. Как мне кажется тут и затык.