Вопрос от новичка

Konstanti

@serg-3
Здр
Идея проста , покажите настройки фазы-2 ipsec
Думаю , что туннель IPSEC просто ничего не знает про сеть 172.16.2.0/24
Если это так , то надо
1 или добавить еще одну фазу-2
2 или модифицировать существующую фазу-2 , указав в качестве источника/назначения 172.16.0.0/16 (или 172.16.0.0/22 - если весь диапазон не нужен в туннеле попадут в него сети 16.1-16.3 ) на обеих сторонах туннеля ( как вариант )

serg. 3

@konstanti
как вы угадали, наверное знали :)
фаза 2: локальная сеть 172.16.2.0, удаленная сеть 10.220.0.1 и все заработало.
пинг взлетел
на самом деле плевая вещь. Спасибо за помощь)

pigbrother

@serg-3 said in Вопрос от новичка:

→ pfsense --→ kerio control (ipsec)

Не поделитесь настройками? Делал такое лет 5 назад, со старой версией Керио. Предположу что настройки могли измениться.

serg. 3

@pigbrother
да я делал по мануалам в инете..
стенд тестовый . Ссылку вставить не дает, размещаю так
:
Имя - Любое, понятное вам
Галка "Включить данный туннель"
Пассивное - только принимает входящие подключения

Вкладка Аутентификация
Предопределенный ключ - secretkey задаем и запоминаем
Локальный ИД - используем IP Kerio -1.1.1.1
Отдаленный ИД - используем IP pfSense 2.2.2.2

Вкладка Удаленные сети
Указываем сеть за pfSense 10.0.2.0/24

Вкладка Локальные сети
Указываем сеть за сеть за Kerio 192.168.0.0/24

На этом богатство настроек IPSEC для Керио заканчивается.

На стороне pfSense:
VPN->Psec

Создаем phase 1:
Key Exchange version V1
Internet Protocol IPv4
Interface - Выбираем WAN, который, собственно получает IP 2.2.2.2
Remote Gateway Внешний IP Kerio 1.1.1.1
Authentication Method - Mutual PSK
Negotiation mode Main
My identifier My IP Address
Peer identifier Peer IP Address
Pre-Shared Key secretkey , заданный в настройках Kerio
Encryption Algorithm 3DES
Hash Algorithm SHA1
DH Group 5(1536 bit)
Lifetime (Seconds) 10800
Disable rekey НЕ отмечаем
Responder Only НЕ отмечаем
NAT Traversal AUTO
Dead Peer Detection НЕ отмечаем

Создаем phase 2:
Mode Tunnel IPv4
Local Network 10.0.2.0/24
NAT/BINAT translation[ b]None
Remote Network 192.168.0.0/24
Protocol ESP
Encryption Algorithms 3DES
Hash Algorithms SHA1
PFS key group off
Lifetime 3600
Automatically ping host - можно указать IP за Kerio, чтобы туннель поднимался автоматически.

Firewall->Rules->IPsec
Добавляем каноническое правило

IPv4 * * * * * * none

Наблюдаем за статусом туннеля
Status->IPsec
После поднятия phase 2 сети должны стать взаимно доступны.
Примечание - пинга c самого pfSense в сеть за Kerio не будет, тестируйте с компьютера в LAN.

pigbrother

@serg-3 said in Вопрос от новичка:

да я делал по мануалам в инете..

Интересно, откуда именно в инете.
Оригинал - мой пост 2106 года на этом форуме :
https://forum.netgate.com/topic/104037/ipsec-site-to-site-%D0%BC%D0%B5%D0%B6%D0%B4%D1%83-pfsense-2-3-2-%D0%B8-kerio-control

serg. 3

@pigbrother
ну как бы поднялось же )

на самом деле много задач стоит с уходом gfi, а у меня несколько мест, где керио даже как ядро сети, есть даже сервак арендованный за бугром, где керио порядка 10 туннелей держит с разных мест, там ибо удобно все. самое ближайшее стал ПФ, а я его не видел лет 10..

pigbrother

@serg-3 said in Вопрос от новичка:

с уходом gfi

Ухода вас с gfi?

serg. 3

@pigbrother gfi в России временно лицензии не продает. а так как скоро закончится одна из лицензий, приходится переходить

werter

Добрый
@serg-3
Вы уточните в своей конторе, можно ли вам пф-то пользовать? Это ж американский продукт.

serg. 3

@serg-3 said in Вопрос от новичка:

вот кстати сеть за pfsense не видится через такой туннель с компа за сетью с керио. Наоборот все ок, пинги есть, доступы есть.
В керио создано правило туннель pfsense - сеть за керио.
В pfsense создано правило ipsec разрешающее доступ (как в мануале - каноническое правило). В pfsence и керио указаны необходимые сети, фаза 1 и 2 поднимаются, статус туннеля connected

tracert с сети за pfsense к компу 192.168.5.1
1 <1 мс <1 мс <1 мс 172.16.1.1
2 <9 мс <7 мс <7 мс 192.168.5.3
3 <9 мс <8 мс <8 мс 192.168.5.1

tracert с сети за керио (5.3 - шлюз керио) к компу 172.16.1.1:
1 <1 мс <1 мс <1 мс 192.168.5.3
2 * * * Превышен интервал ожидания для запроса.

serg. 3

This post is deleted!

serg. 3

@serg-3 said in Вопрос от новичка:

@serg-3 said in Вопрос от новичка:

вот кстати сеть за pfsense не видится через такой туннель с компа за сетью с керио. Наоборот все ок, пинги есть, доступы есть.
В керио создано правило туннель pfsense - сеть за керио.
В pfsense создано правило ipsec разрешающее доступ (как в мануале - каноническое правило). В pfsence и керио указаны необходимые сети, фаза 1 и 2 поднимаются, статус туннеля connected

tracert с сети за pfsense к компу 192.168.5.1
1 <1 мс <1 мс <1 мс 172.16.1.1
2 <9 мс <7 мс <7 мс 192.168.5.3
3 <9 мс <8 мс <8 мс 192.168.5.1

tracert с сети за керио (5.3 - шлюз керио) к компу 172.16.1.1:
1 <1 мс <1 мс <1 мс 192.168.5.3
2 * * * Превышен интервал ожидания для запроса.

в разрешающем ipsec правиле был указан протокол tcp. исправил, icmp забегал. после керио много что еще непонятно, справимся )...

pigbrother

@serg-3 said in Вопрос от новичка:

после керио много что еще непонятно, справимся ).

Пару раз приходилось тыкать в Керио. Аналогично, многое непривычно.