Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Вопрос от новичка

    Scheduled Pinned Locked Moved Russian
    14 Posts 4 Posters 2.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Konstanti @serg. 3
      last edited by Konstanti

      @serg-3
      Здр
      Идея проста , покажите настройки фазы-2 ipsec
      Думаю , что туннель IPSEC просто ничего не знает про сеть 172.16.2.0/24
      Если это так , то надо
      1 или добавить еще одну фазу-2
      2 или модифицировать существующую фазу-2 , указав в качестве источника/назначения 172.16.0.0/16 (или 172.16.0.0/22 - если весь диапазон не нужен в туннеле попадут в него сети 16.1-16.3 ) на обеих сторонах туннеля ( как вариант )

      S 1 Reply Last reply Reply Quote 1
      • S
        serg. 3 @Konstanti
        last edited by

        @konstanti
        как вы угадали, наверное знали :)
        фаза 2: локальная сеть 172.16.2.0, удаленная сеть 10.220.0.1 и все заработало.
        пинг взлетел
        на самом деле плевая вещь. Спасибо за помощь)

        1 Reply Last reply Reply Quote 0
        • P
          pigbrother @serg. 3
          last edited by

          @serg-3 said in Вопрос от новичка:

          → pfsense --→ kerio control (ipsec)

          Не поделитесь настройками? Делал такое лет 5 назад, со старой версией Керио. Предположу что настройки могли измениться.

          1 Reply Last reply Reply Quote 0
          • S
            serg. 3
            last edited by

            @pigbrother
            да я делал по мануалам в инете..
            стенд тестовый . Ссылку вставить не дает, размещаю так
            :
            Имя - Любое, понятное вам
            Галка "Включить данный туннель"
            Пассивное - только принимает входящие подключения

            Вкладка Аутентификация
            Предопределенный ключ - secretkey задаем и запоминаем
            Локальный ИД - используем IP Kerio -1.1.1.1
            Отдаленный ИД - используем IP pfSense 2.2.2.2

            Вкладка Удаленные сети
            Указываем сеть за pfSense 10.0.2.0/24

            Вкладка Локальные сети
            Указываем сеть за сеть за Kerio 192.168.0.0/24

            На этом богатство настроек IPSEC для Керио заканчивается.

            На стороне pfSense:
            VPN->Psec

            Создаем phase 1:
            Key Exchange version V1
            Internet Protocol IPv4
            Interface - Выбираем WAN, который, собственно получает IP 2.2.2.2
            Remote Gateway Внешний IP Kerio 1.1.1.1
            Authentication Method - Mutual PSK
            Negotiation mode Main
            My identifier My IP Address
            Peer identifier Peer IP Address
            Pre-Shared Key secretkey , заданный в настройках Kerio
            Encryption Algorithm 3DES
            Hash Algorithm SHA1
            DH Group 5(1536 bit)
            Lifetime (Seconds) 10800
            Disable rekey НЕ отмечаем
            Responder Only НЕ отмечаем
            NAT Traversal AUTO
            Dead Peer Detection НЕ отмечаем

            Создаем phase 2:
            Mode Tunnel IPv4
            Local Network 10.0.2.0/24
            NAT/BINAT translation[ b]None
            Remote Network 192.168.0.0/24
            Protocol ESP
            Encryption Algorithms 3DES
            Hash Algorithms SHA1
            PFS key group off
            Lifetime 3600
            Automatically ping host - можно указать IP за Kerio, чтобы туннель поднимался автоматически.

            Firewall->Rules->IPsec
            Добавляем каноническое правило

            IPv4 * * * * * * none

            Наблюдаем за статусом туннеля
            Status->IPsec
            После поднятия phase 2 сети должны стать взаимно доступны.
            Примечание - пинга c самого pfSense в сеть за Kerio не будет, тестируйте с компьютера в LAN.

            P S 2 Replies Last reply Reply Quote 0
            • P
              pigbrother @serg. 3
              last edited by pigbrother

              @serg-3 said in Вопрос от новичка:

              да я делал по мануалам в инете..

              Интересно, откуда именно в инете.
              Оригинал - мой пост 2106 года на этом форуме 😊 :
              https://forum.netgate.com/topic/104037/ipsec-site-to-site-%D0%BC%D0%B5%D0%B6%D0%B4%D1%83-pfsense-2-3-2-%D0%B8-kerio-control

              S 1 Reply Last reply Reply Quote 0
              • S
                serg. 3 @pigbrother
                last edited by

                @pigbrother
                ну как бы поднялось же )

                на самом деле много задач стоит с уходом gfi, а у меня несколько мест, где керио даже как ядро сети, есть даже сервак арендованный за бугром, где керио порядка 10 туннелей держит с разных мест, там ибо удобно все. самое ближайшее стал ПФ, а я его не видел лет 10..

                P 1 Reply Last reply Reply Quote 0
                • P
                  pigbrother @serg. 3
                  last edited by

                  @serg-3 said in Вопрос от новичка:

                  с уходом gfi

                  Ухода вас с gfi?

                  S 1 Reply Last reply Reply Quote 0
                  • S
                    serg. 3 @pigbrother
                    last edited by

                    @pigbrother gfi в России временно лицензии не продает. а так как скоро закончится одна из лицензий, приходится переходить

                    werterW 1 Reply Last reply Reply Quote 0
                    • werterW
                      werter @serg. 3
                      last edited by

                      Добрый
                      @serg-3
                      Вы уточните в своей конторе, можно ли вам пф-то пользовать? Это ж американский продукт.

                      S 1 Reply Last reply Reply Quote 0
                      • S
                        serg. 3 @serg. 3
                        last edited by serg. 3

                        @serg-3 said in Вопрос от новичка:

                        вот кстати сеть за pfsense не видится через такой туннель с компа за сетью с керио. Наоборот все ок, пинги есть, доступы есть.
                        В керио создано правило туннель pfsense - сеть за керио.
                        В pfsense создано правило ipsec разрешающее доступ (как в мануале - каноническое правило). В pfsence и керио указаны необходимые сети, фаза 1 и 2 поднимаются, статус туннеля connected

                        tracert с сети за pfsense к компу 192.168.5.1
                        1 <1 мс <1 мс <1 мс 172.16.1.1
                        2 <9 мс <7 мс <7 мс 192.168.5.3
                        3 <9 мс <8 мс <8 мс 192.168.5.1

                        tracert с сети за керио (5.3 - шлюз керио) к компу 172.16.1.1:
                        1 <1 мс <1 мс <1 мс 192.168.5.3
                        2 * * * Превышен интервал ожидания для запроса.

                        S 1 Reply Last reply Reply Quote 0
                        • S
                          serg. 3 @werter
                          last edited by

                          This post is deleted!
                          1 Reply Last reply Reply Quote 0
                          • S
                            serg. 3 @serg. 3
                            last edited by

                            @serg-3 said in Вопрос от новичка:

                            @serg-3 said in Вопрос от новичка:

                            вот кстати сеть за pfsense не видится через такой туннель с компа за сетью с керио. Наоборот все ок, пинги есть, доступы есть.
                            В керио создано правило туннель pfsense - сеть за керио.
                            В pfsense создано правило ipsec разрешающее доступ (как в мануале - каноническое правило). В pfsence и керио указаны необходимые сети, фаза 1 и 2 поднимаются, статус туннеля connected

                            tracert с сети за pfsense к компу 192.168.5.1
                            1 <1 мс <1 мс <1 мс 172.16.1.1
                            2 <9 мс <7 мс <7 мс 192.168.5.3
                            3 <9 мс <8 мс <8 мс 192.168.5.1

                            tracert с сети за керио (5.3 - шлюз керио) к компу 172.16.1.1:
                            1 <1 мс <1 мс <1 мс 192.168.5.3
                            2 * * * Превышен интервал ожидания для запроса.

                            в разрешающем ipsec правиле был указан протокол tcp. исправил, icmp забегал. после керио много что еще непонятно, справимся )...

                            P 1 Reply Last reply Reply Quote 0
                            • P
                              pigbrother @serg. 3
                              last edited by pigbrother

                              @serg-3 said in Вопрос от новичка:

                              после керио много что еще непонятно, справимся ).

                              Пару раз приходилось тыкать в Керио. Аналогично, многое непривычно.

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.