Получилось твой вариант сделать. но через веб морду у тебя это не выйдет все сделать. т.к. гейты он не даст установить те которые необходимо ввести. я для этого через шел конфигурил хмл файл
давай тебе сделаю маленький пример. имеем пустые по умолчанию настройки.
Офис А с выходом в инет.
Офис Б без выхода в инет.
Настраиваем ПФСЕНС офиса А.
1. Разрешим на ване А туда и обратно трафик для Вана Б
типа такого
Разрешить все на ВанИнтерфейсе для IP (ВанИфейс Б) на IP (ВанИфейс А)
и наоборот
Разрешить все на ВанИнтерфейсе IP (ВанИфейс А) на IP (ВанИфейс Б)
2. делаем gif
Interfaces: Assign network ports : Gif
Жмем добавить Гиф
Parent interface - WAN
gif remote address - IP ( WAN B )
gif tunnel local address - 1.1.1.1/30
gif tunnel remote address - 1.1.1.2/30
далее галок ни где не ставим.
можно сделать описание Гифа
Жмем сохранить.
3. создаем IPSec
а - добавляем ключ
заходим VPN: IPsec: Keys
жмем Pre-shared keys
Жмем добавить
Identifier - IP ( WAN B )
Pre-shared key - (Ключ соединения)
б - добавляем сам IPSEC
Interface - WAN
RemGate - IP (Wan B)
Descr - IPSec
AuthMetod - PSK
Mode - Aggresive
My id - My IP
Peer id - Peer IP
PreShKey - (Ключ соединения)
Proposal Checking - default
Encryption algorithm - 3des
hash alg - sha1
DH key group - 2
lifetime - 28880
NAT Traversal - disable
dpd - галка
10
5
сохранить
в. добавляем что шифровать
VPN: IPsec: Edit Phase 2
mode - transport
proto -esp
encriptAlg - 3DES
Hashalg - SHA1 MD5
PFS - 2
lifetime - 3600
ping host - 1.1.1.2
сохранить.
4. в Рулесах делаем правило для IPSEC разрешить всем все.
5. идем в роутинг и добавляем гате для офиса Б -
System: Gateways
Interface - LAN
name - Gate_for_IPSEC_B
GateWay - 1.1.1.2
Descr - Gate_for_IPSEC_B
Тут он тебе не даст сохранить. Поэтому для начало напишим любой IP из сети LAN A и жмем сохранить.
6. добавим сеть для маршрутизации офиса Б.
System: Static Routes
Destination network - Вся сеть Lan B (b.b.b.b/24)
Gateway - Тот что мы сделали в пункте 5.
описание - Gate_for_IPSEC_B
сохраняем.
Ну почти и все. осталось зайти через шел и исправить конфиг вручную
vi /conf/config.xml
найти запись типа где я звездочками указал на то место где будет тот IP что вы ввели любой из сети Лан А. его заменить на 1.1.1.2
<gateways><gateway_item><interface>lan</interface>
<gateway>********</gateway>
<name>Gate_for_IPSEC_B</name>
<weight>1</weight></gateway_item></gateways>
Ну вроди настройка ПФсенса А закончено, ребутим
Настраиваем ПФСенсе Б
Все точно также как и для А но с точностью наоборот зеркально.
Единственное Пункт 6 надо заменить на чтот отипа такого.
vi /conf/config.xml
сделать типа такого
<gateways><gateway_item><interface>lan</interface>
<gateway>1.1.1.1</gateway>
<name>Gate_for_IPSEC_A</name>
<weight>1</weight></gateway_item></gateways>
<staticroutes><route><network>0.0.0.0/0</network>
<gateway>Gate_for_IPSEC_A</gateway></route>
Далее если WAN A и WAN B лежат в разных сетях, то надо еще сделать маршрут для IP WAN B до IP WAN A чтобы ПФСЕНСы могли друг друга видеть даже если еще IPSec не поднялся. и это тоже надо сделать в конфиге чтобы после ребуто все работало
к примеру если у WAN B было чтото типа такого
WAN B
IP - x.x.x.y
GW - x.x.x.x
WAN A
IP - y.y.y.y
если через шел то route add y.y.y.y x.x.x.x
Далее надо сделать поумолчанию маршрут на 1.1.1.1 это означть будет что весь драфик заварачивать на ПФСЕНСЕ А внутри нашего шифрованного канала
route delete default
route add default 1.1.1.1
Я попробовал на виртуалках все уменя заработало.
Желаю Удачи.</staticroutes>
