Вопрос от новичка
-
@serg-3 said in Вопрос от новичка:
→ pfsense --→ kerio control (ipsec)
Не поделитесь настройками? Делал такое лет 5 назад, со старой версией Керио. Предположу что настройки могли измениться.
-
@pigbrother
да я делал по мануалам в инете..
стенд тестовый . Ссылку вставить не дает, размещаю так
:
Имя - Любое, понятное вам
Галка "Включить данный туннель"
Пассивное - только принимает входящие подключенияВкладка Аутентификация
Предопределенный ключ - secretkey задаем и запоминаем
Локальный ИД - используем IP Kerio -1.1.1.1
Отдаленный ИД - используем IP pfSense 2.2.2.2Вкладка Удаленные сети
Указываем сеть за pfSense 10.0.2.0/24Вкладка Локальные сети
Указываем сеть за сеть за Kerio 192.168.0.0/24На этом богатство настроек IPSEC для Керио заканчивается.
На стороне pfSense:
VPN->PsecСоздаем phase 1:
Key Exchange version V1
Internet Protocol IPv4
Interface - Выбираем WAN, который, собственно получает IP 2.2.2.2
Remote Gateway Внешний IP Kerio 1.1.1.1
Authentication Method - Mutual PSK
Negotiation mode Main
My identifier My IP Address
Peer identifier Peer IP Address
Pre-Shared Key secretkey , заданный в настройках Kerio
Encryption Algorithm 3DES
Hash Algorithm SHA1
DH Group 5(1536 bit)
Lifetime (Seconds) 10800
Disable rekey НЕ отмечаем
Responder Only НЕ отмечаем
NAT Traversal AUTO
Dead Peer Detection НЕ отмечаемСоздаем phase 2:
Mode Tunnel IPv4
Local Network 10.0.2.0/24
NAT/BINAT translation[ b]None
Remote Network 192.168.0.0/24
Protocol ESP
Encryption Algorithms 3DES
Hash Algorithms SHA1
PFS key group off
Lifetime 3600
Automatically ping host - можно указать IP за Kerio, чтобы туннель поднимался автоматически.Firewall->Rules->IPsec
Добавляем каноническое правилоIPv4 * * * * * * none
Наблюдаем за статусом туннеля
Status->IPsec
После поднятия phase 2 сети должны стать взаимно доступны.
Примечание - пинга c самого pfSense в сеть за Kerio не будет, тестируйте с компьютера в LAN. -
@serg-3 said in Вопрос от новичка:
да я делал по мануалам в инете..
Интересно, откуда именно в инете.
Оригинал - мой пост 2106 года на этом форуме :
https://forum.netgate.com/topic/104037/ipsec-site-to-site-%D0%BC%D0%B5%D0%B6%D0%B4%D1%83-pfsense-2-3-2-%D0%B8-kerio-control -
@pigbrother
ну как бы поднялось же )на самом деле много задач стоит с уходом gfi, а у меня несколько мест, где керио даже как ядро сети, есть даже сервак арендованный за бугром, где керио порядка 10 туннелей держит с разных мест, там ибо удобно все. самое ближайшее стал ПФ, а я его не видел лет 10..
-
-
@pigbrother gfi в России временно лицензии не продает. а так как скоро закончится одна из лицензий, приходится переходить
-
Добрый
@serg-3
Вы уточните в своей конторе, можно ли вам пф-то пользовать? Это ж американский продукт. -
@serg-3 said in Вопрос от новичка:
вот кстати сеть за pfsense не видится через такой туннель с компа за сетью с керио. Наоборот все ок, пинги есть, доступы есть.
В керио создано правило туннель pfsense - сеть за керио.
В pfsense создано правило ipsec разрешающее доступ (как в мануале - каноническое правило). В pfsence и керио указаны необходимые сети, фаза 1 и 2 поднимаются, статус туннеля connectedtracert с сети за pfsense к компу 192.168.5.1
1 <1 мс <1 мс <1 мс 172.16.1.1
2 <9 мс <7 мс <7 мс 192.168.5.3
3 <9 мс <8 мс <8 мс 192.168.5.1tracert с сети за керио (5.3 - шлюз керио) к компу 172.16.1.1:
1 <1 мс <1 мс <1 мс 192.168.5.3
2 * * * Превышен интервал ожидания для запроса. -
This post is deleted! -
@serg-3 said in Вопрос от новичка:
@serg-3 said in Вопрос от новичка:
вот кстати сеть за pfsense не видится через такой туннель с компа за сетью с керио. Наоборот все ок, пинги есть, доступы есть.
В керио создано правило туннель pfsense - сеть за керио.
В pfsense создано правило ipsec разрешающее доступ (как в мануале - каноническое правило). В pfsence и керио указаны необходимые сети, фаза 1 и 2 поднимаются, статус туннеля connectedtracert с сети за pfsense к компу 192.168.5.1
1 <1 мс <1 мс <1 мс 172.16.1.1
2 <9 мс <7 мс <7 мс 192.168.5.3
3 <9 мс <8 мс <8 мс 192.168.5.1tracert с сети за керио (5.3 - шлюз керио) к компу 172.16.1.1:
1 <1 мс <1 мс <1 мс 192.168.5.3
2 * * * Превышен интервал ожидания для запроса.в разрешающем ipsec правиле был указан протокол tcp. исправил, icmp забегал. после керио много что еще непонятно, справимся )...
-
@serg-3 said in Вопрос от новичка:
после керио много что еще непонятно, справимся ).
Пару раз приходилось тыкать в Керио. Аналогично, многое непривычно.