Huawei AR161FG-L + PfSense 2.6.0 - ipsec s2s

rnduser

@konstanti доброго дня.
Кроме не верной настройки NAT, когда траффик предназначался туннелю, но попадал на NAT Outbound, видимо, была проблема в proposal на первой фазе. причем, в дефолтном режиме детализации ipsec не было никаких сообщений о проблеме (вы и сами лог видели). А со стороны Huawei в "ike error-log" были сообщения о "ike mismatch".
В итоге снова пересобрал ipsec profile и сверил с PfSense, вроде работает. Теперь нужно всё ещё раз перепроверить и разобраться с настройкой Firewall, меня терзают сомнения...

rnduser

@werter
Вы не поверите, но на этом сайте стоял PfSense с той стороны туннеля (OpenVpn s2s), но это было так: ProxMox + PfSense+WinServer+ip surveillance. В итоге потребность сократилась до Маршрутизатора и ip-surveillance.

rnduser

@konstanti
в итоге вот рабочий сеттинг со стороны PfSense

погонял трафик, вроде все корректно, заглянул в enc0 и em0 (wan-iface) - ходит куда нужно.
в тестовой лабе, Huawei <--> PfSense (Celeron J3455, AES-NI) , 250-290Mbit/s. Между двумя одинаковыми Хуавеями- 530Mbit/s ))
Спасибо всем за помощь.

rnduser

@konstanti добрый день.
А если нужно больше одной сети пробрасывать в туннель, добавляем дополнительные записи в Phase2 ?

Konstanti

@rnduser
Да, все верно , добавляем отдправило а acl или запись со стороны pf в настройках фазы-2 ( или играемся маской подсети /wildcard если такое позволяет адресация )

rnduser

@konstanti пока не пойму как со стороны хуавея это сделать?
за ним две сети:

10.12.200.0/24
10.12.202.0/24
Добавлять ещё одно правило в ACL Policy или накрывать обе сети wildcard. Если wildcard, то какая маска? что-то не соображу? 0.0.252.255?

Konstanti

@rnduser

Или добавляем правило в ацл и запись в пф
Итого 2 записи с каждой стороны
Или правим существующую с обеих сторон
Начать эксперимент можно с
Pf 10.12.0.0/16
Hw 10.12.0.0 0.0.255.255

Потом уже можно менять маску , если надо

rnduser

@konstanti said in Huawei AR161FG-L + PfSense 2.6.0 - ipsec s2s:

Pf 10.12.0.0/16
Hw 10.12.0.0 0.0.255.255

ну нет. сильно широко )

rnduser

@konstanti said in Huawei AR161FG-L + PfSense 2.6.0 - ipsec s2s:

Итого 2 записи с каждой стороны

да, это понятно.
к Фазе1 добавляем две записи Фазы2 соответствующие интересующим нас сетям.
На хуавее добавляем в ACL Policy ещё одну запись.

Konstanti

@rnduser
Это для эксперимента
Потом маску сделаете меньше и настроете как Вам надо

rnduser

@konstanti на PfSense тогда тоже маску на /16 ?

Konstanti

@rnduser
Записи должны быть зеркальными
Да, меняем

Konstanti

@rnduser

для pf 10.12.200.0 / 22
для hw 10.12.200.0 0.0.3.255

rnduser

@konstanti добрый день.
перенес эту связку в боевые условия, и....скорости в туннеле нет. Я так понимаю или MTU / MSS или провайдер так решил.

Konstanti

@rnduser
Еще ни разу не видел , чтобы провайдер ‘душил’ vpn канал . Попробуйте MTU 1400 сделать в настройках IPsec со стороны pf

rnduser

@konstanti на всякий случай уточнил у прова. говорят не ограничивают.
Значит всё-таки настройки.
MTU менять же на обоих концах одновременно?

Konstanti

@rnduser

Попробуйте сначала со стороны pf
Я - не знаток HW , но что-то мне подсказывает , что так ‘лихо’ на нем не провернуть
Я как-то игрался с IPsec на hp , там mtu менял напрямую на интерфейсе . По-моему, на lan . Не помню

rnduser

@konstanti я тоже не знаток
макс MTU можем определить пингуя хосты через туннель? верно?
и после этого менять настройки?
у хуавея, на физическом WAN интерфейсе (там где НАТ и применена политика IPSEC) задан параметр
interface GigabitEthernet0/0/4
tcp adjust-mss 1200
ip address 192.168.22.100 255.255.255.0
nat outbound 3001
zone wan
ipsec policy test1

Konstanti

@rnduser
Не морочьтесь с пингами
Где-то читал , что рекомендуется 1400-1420 mtu на IPsec

rnduser

@konstanti
вот с таким MSS , со стороны Huawei вообще не пролезает ничего

C:\Users\1\Desktop\iperf-3.1.3-win32>iperf3 -c 10.12.200.1 -V -M 1400 -R
iperf 3.1.3
CYGWIN_NT-10.0-WOW HOMEPC 2.5.1(0.297/5/3) 2016-04-21 22:12 i686
Time: Thu, 26 Jan 2023 08:58:12 GMT
Connecting to host 10.12.200.1, port 5201
Reverse mode, remote host 10.12.200.1 is sending
Cookie: HOMEPC.1674723491.988558.32c8629239b
TCP MSS: 1400
[ 4] local 10.9.200.100 port 50327 connected to 10.12.200.1 port 5201
Starting Test: protocol: TCP, 1 streams, 131072 byte blocks, omitting 0 seconds, 10 second test
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.01 sec 0.00 Bytes 0.00 bits/sec
[ 4] 1.01-2.00 sec 0.00 Bytes 0.00 bits/sec
[ 4] 2.00-3.01 sec 0.00 Bytes 0.00 bits/sec
[ 4] 3.01-4.01 sec 0.00 Bytes 0.00 bits/sec
[ 4] 4.01-5.02 sec 0.00 Bytes 0.00 bits/sec
[ 4] 5.02-6.00 sec 0.00 Bytes 0.00 bits/sec
[ 4] 6.00-7.01 sec 0.00 Bytes 0.00 bits/sec
[ 4] 7.01-8.01 sec 0.00 Bytes 0.00 bits/sec
[ 4] 8.01-9.01 sec 0.00 Bytes 0.00 bits/sec
[ 4] 9.01-10.02 sec 0.00 Bytes 0.00 bits/sec

Test Complete. Summary Results:
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.02 sec 45.1 KBytes 36.9 Kbits/sec 5 sender
[ 4] 0.00-10.02 sec 0.00 Bytes 0.00 bits/sec receiver
CPU Utilization: local/receiver 0.0% (0.0%u/0.0%s), remote/sender 0.1% (0.1%u/0.0%s)

iperf Done.