Прокинуть виртуальную сеть по ipsec

Vasilev

Добрый день!
Есть офис1 на pfsense 2.3.4 с настройками:
Сеть1 192.168.2.1/24 на pfsense интерфейс LAN
Сеть2 192.168.10.1/24 виртуальный IP 192.168.10.1/24

Есть офис2 на pfsense 2.5.2 с настройками:
Сеть1 192.168.1.1/24 на pfsense интерфейс LAN
Сеть2 192.168.9.1/24 виртуальный IP 192.168.9.1/24

Настроен ipsec,правила прописаны для LAN пакеты ходят нормально.

Добавляю в офисе1 еще одну Phase 2 с параметрами Local Subnet - LAN, Remote Subnet - 192.168.9.0/24
Добавляю в офисе2 еще одну Phase 2 с параметрами Local Subnet - LAN, Remote Subnet - 192.168.10.0/24
Эти фазы не поднимаются.
Исправляю LAN на виртуальные сети 192.168.10.0/24 в первом офисе, и 192.168.9.0/24 во втором офисе, такие фазы поднимаются, пакеты ходят из сети 2.х в 9.х и 1.х в 10.х, а вот из 10.х в 9.х и наоборот нет.
Как я понимаю, надо как то подружить LAN и виртуальные сети другого офиса, но как не понимаю.
Прошу помочь.

Konstanti

@vasilev

Здр
И не будут подниматься
У Вас должно быть 3 или 4 фазы-2 на обеих сторонах туннеля ( зависит от конкретной задачи )

Офис 1
192.168.2.0/24 -> 192.168.1.0/24 (Lan 1 -> Lan 2 )
192.168.2.0/24 -> 192.168.9.0/24 ( Lan 1-> Virtual Lan 2 )
192.168.10.0/24 -> 192.168.1.0/24 ( Virtual Lan 1 -> Lan 2 )

ну , и
если надо
192.168.10.0/24 -> 192.168.9.0/24 ( Virtual Lan 1 -> Virtual Lan 2 )

офис 2 - фазы-2 - зеркальное отображение фазы-2 офис-1
кол-во фаз-2 должно совпадать с обеих сторон

werter

Добрый.
@vasilev

1. Обновить все пф до самой свежей версии. Бодаться со старыми багами никто здесь не хочет. Скоро 2.7 и Вам будет ЕЩЕ сложнее на нее перейти.
2. Поднять ipsec vti и рулит роутами.

Vasilev

@konstanti так у меня по 2 фазы с каждой стороны, почитайте внимательней. Итого 4 фазы с 2-х сторон. Я же написал, что не поднимается Фаза LAN1 - Remote Subnet - 192.168.9.0/24, а вот 192.168.10.0/24 -192.168.9.0/24 поднимается, но пакеты не идут.
Правила все прописаны.
@werter

1. Не получится, там полное переустановление делать надо, дистр еще 386...
2. Понял.

Vasilev

@konstanti said in Прокинуть виртуальную сеть по ipsec:

192.168.2.0/24 -> 192.168.9.0/24 ( Lan 1-> Virtual Lan 2 )

Вот эта фаза не поднимается. Я написал же.

pigbrother

@vasilev said in Прокинуть виртуальную сеть по ipsec:

, дистр еще 386...

Переезжал с x86 на х64 восстановлением конфига. Правда давно, но прошло успешно. Конфиг, IMHO, от платформы не зависит.

Konstanti

@vasilev

Нигде не написано , что есть зеркальная фаза-2
Добавляю в офисе1 еще одну Phase 2 с параметрами Local Subnet - LAN, Remote Subnet - 192.168.9.0/24
Добавляю в офисе2 еще одну Phase 2 с параметрами Local Subnet - LAN, Remote Subnet - 192.168.10.0/24
Эти фазы не поднимаются.

192.168.2.0/24 -> 192.168.9.0/24 ( Lan 1-> Virtual Lan 2 )

и если есть зеркальная фаза-2 на втором PF

192.168.9.0/24 -> 192.168.2.0/24 ( Virtual Lan 2 -> Lan 1 )

и все настройки этих фаз идентичны ( а фазы не поднимаются ),
то смотрите журнал IPSEC на предмет ошибок
если можете , выложите его тут

Vasilev

@konstanti
Фазы зеркальные, вот так поднимаются:
Офис1

Офис2

Если Local Subnet - выставляю LAN(вместо 192.168.10.0/24 192.168.9.0/24), то не поднимаются.

Konstanti

@vasilev
смотрите ошибки в журнале IPSEC
что происходит в момент согласования фазы-2
или покажите тут , должна быть ошибка

P.S.
Если Local Subnet - выставляю LAN(вместо 192.168.10.0/24 192.168.9.0/24), то не поднимаются.

получается
офис 1
192.168.2.0/24 -> 192.168.1.0/24
192.168.2.0/24 -> 192.168.9.0/24

офис -2
192.168.1.0/24 -> 192.168.2.0/24
192.168.1.0/24 -> 192.168.10.0/24

а должно быть
офис 1
192.168.2.0/24 -> 192.168.1.0/24
192.168.2.0/24 -> 192.168.9.0/24
192.168.10.0/24 -> 192.168.1.0/24

офис-2
192.168.1.0/24 -> 192.168.2.0/24
192.168.9.0/24 -> 192.168.2.0/24
192.168.1.0/24 -> 192.168.10.0/24

Vasilev

@konstanti said in Прокинуть виртуальную сеть по ipsec:

192.168.2.0/24 -> 192.168.9.0/24
192.168.1.0/24 -> 192.168.10.0/24

Вот эти фазы не поднимаются.
В логах нет вообще упоминания об этих фазах.
Я обновляться буду на последнего релиза, может это и правда баг какой.

Konstanti

@vasilev
посмотрите
/var/etc/ipsec/ipsec.conf - это для старых версий PF

для новых , думаю
файл swanctl.conf
эти файлы генерируются автоматически системой . Все ли в них нормально ( согласно Ваших настроек) ?
очень желательно все-таки посмотреть лог файл соединения .
ip адреса инициатора и ответчика можно скрыть