PFSense+Kerio
-
Всех с Новым Годом!!! Уже несколько дней бьюсь с вопросом. Помогите пожалуйста настроить сеть.
Есть сеть 192.168.2.0 на Kerio 9. К ней есть подключения клиентов через Kerio Control VPN Client.
Есть вторая сеть 192.168.1.0 на PFSense.
Между Kerio и PFSense настроен туннель, трафик ходит, все работает. Но не могу настроить доступ внешних клиентов kerio в сеть с PFSense. -
Доброе
С Новым!https://forum.pfsense.org/index.php?topic=116714
Покажите скрины настроек fw на впн-интерфейсе пф. Что говорит tracert с подкл. извне керио-клиента ?
-
В PF Sense в firewall ipsec все везде открыто, при подключенном клиенте маршрут до шлюза PF не находит, до железок за Kerio маршрут проходит нормально. Раньше было с обоих концов kerio, все нормально работало. Подозреваю что дело в маршрутизации.
-
-
В PF Sense в firewall ipsec все везде открыто, при подключенном клиенте маршрут до шлюза PF не находит, до железок за Kerio маршрут проходит нормально. Раньше было с обоих концов kerio, все нормально работало. Подозреваю что дело в маршрутизации.
Т.е. сети, расположенные за пф и керио друг друга видят нормально? А клиенты , подкл. к Керио извне не видят сеть за пф ?
Если это так, то разбирайтесь с керио - пф тут не причем. Скорее всего при подкл. к керио клиенты не получают маршрут в сеть 192.168.1.0.Важно. Возможно у внешних клиентов локальный адрес совпадает с 192.168.1.х. Дурной тон иметь такую адресацию. Меняйте ее в сети пф. Да и керио-сеть также не блещет.
-
Извините, что сразу нормально не написал. Раньше было 2 шлюза Kerio с локальными подсетями 10.1.1.0 и 10.1.2.0. Внешние клиенты подключались к первому шлюзу. У внешних клиентов была подсеть 172.26.143.0 (стандартная Kerio). Трафик нормально ходил во все подсети.
Сейчас решил второй шлюз перевести на PFSense. На нем настроил тоннель. Подсети остались такие же. Внешние клиенты так и остались в подсети 172.26.143.0 и подключаются к шлюзу 10.1.1.0. Но в сеть 10.1.2.0 перестали ходить и не получается это исправить. -
Доброе.
А есть ли возможность сменить и второй керио на пф ? Уж если приводить все к единому, то сразу.Посмотрите таблицу марш-ции на удаленном клиенте при поднятом на нем керио-подклюении.
Зап. ком. строку от имени Администратора и вып. ком. route print. Листинг выкладывайте здесь. -
IPv4 таблица маршрута
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.5.5 192.168.5.143 55
10.1.1.0 255.255.255.0 172.26.143.1 172.26.143.32 1
10.1.5.0 255.255.255.0 172.26.143.1 172.26.143.32 1
10.1.7.0 255.255.255.0 172.26.143.1 172.26.143.32 1
10.253.58.0 255.255.255.0 172.26.143.1 172.26.143.32 1
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
172.26.143.0 255.255.255.0 On-link 172.26.143.32 257
172.26.143.5 255.255.255.255 172.26.143.1 172.26.143.32 1
172.26.143.32 255.255.255.255 On-link 172.26.143.32 257
172.26.143.255 255.255.255.255 On-link 172.26.143.32 257
192.168.1.0 255.255.255.0 172.26.143.1 172.26.143.32 1
192.168.5.0 255.255.255.0 On-link 192.168.5.143 311
192.168.5.143 255.255.255.255 On-link 192.168.5.143 311
192.168.5.255 255.255.255.255 On-link 192.168.5.143 311
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.5.143 311
224.0.0.0 240.0.0.0 On-link 172.26.143.32 257
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.5.143 311
255.255.255.255 255.255.255.255 On-link 172.26.143.32 257 -
Сеть 10.1.5.0 это 10.1.2.0. Просто 10.1.2.0 для примера написал :)
А поменять на второй стороне PFSense пока не представляется возможности, так как к нему подключаются клиенты. Хотел просто постепенно все перенести.
По сетям у меня получается так.
10.1.1.0 сеть с Kerio к которой подключаются внешние клиенты.
10.1.5.0 сеть с PFSense.
10.1.3.0 сеть L2TP на PFSense к которой подключаются удаленные клиенты.И еще вопрос созрел. Вчера поднял подключение L2TP к PFSense. Сеть 10.1.3.0. В сеть 10.1.5.0 хожу без проблем, а вот в сеть 10.1.1.0 попасть не могу. А если нахожусь в сети 10.1.5.0 то в сеть 10.1.1.0 попадаю без проблем.
Объясню для чего все замуты. Пока хочу чтоб клиенты подключались к Kerio и нормально ходили в другие подсети. А потом всех перетянуть на PFSense.
-
Это с подключенным L2TP к PFSense
IPv4 таблица маршрута
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.5.5 192.168.5.143 4280
0.0.0.0 0.0.0.0 On-link 10.1.3.0 46
10.1.3.0 255.255.255.255 On-link 10.1.3.0 301
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4556
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4556
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4556
192.168.5.0 255.255.255.0 On-link 192.168.5.143 4536
192.168.5.143 255.255.255.255 On-link 192.168.5.143 4536
192.168.5.255 255.255.255.255 On-link 192.168.5.143 4536
212.12.8.78 255.255.255.255 192.168.5.5 192.168.5.143 4281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4556
224.0.0.0 240.0.0.0 On-link 192.168.5.143 4536
224.0.0.0 240.0.0.0 On-link 10.1.3.0 46
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4556
255.255.255.255 255.255.255.255 On-link 192.168.5.143 4536
255.255.255.255 255.255.255.255 On-link 10.1.3.0 301 -
Керио не администрировал, по ссылке, приведенной ув. werter - пример site-to-site между PFSense и Kerio, который пришлось организовать. Мои мобильнее клиенты pfSense могут ходить в сеть за Kerio, но они - на Open VPN, в котором добавить маршрут(ы) для клиента не проблема.
По аналогии с моим случаем - если речь о "настоящем" IPsec, то мне понадобилось добавить вторую phase 2. В вашем случае - между подсетью pfSense и подсетью клиентов VPN Kerio.Вариант 2. Не знаю, возможно ли это в Kerio, но если попробовать мобильным клиентам Kerio выдавать IP из диапазона LAN Kerio?
-
Доброе.
При l2tp-подключении у вас весь трафик уходит в туннель:0.0.0.0 0.0.0.0 On-link 10.1.3.0 46И что это за адрес такой 10.1.3.0 ? Это же адрес сети , а не узла.
И еще вопрос созрел. Вчера поднял подключение L2TP к PFSense. Сеть 10.1.3.0. В сеть 10.1.5.0 хожу без проблем, а вот в сеть 10.1.1.0 попасть не могу. А если нахожусь в сети 10.1.5.0 то в сеть 10.1.1.0 попадаю без проблем.
Скорее всего в правилах fw на керио доступ к керио-сети разрешен только для 10.1.5.0 , а для 10.1.3.0 - запрещен.
Разрешите явно этот момент.Есть ли возможность создать еще одну phase 2 , где будет добавлена еще и сеть 10.1.3.0 ?
-
Благодаря вашей помощи достиг небольших продвижений (добавил phase 2). Теперь через l2tp могу подключаться к подсети 10.1.1.0.
Но пока не могу побороть подключение Kerio клиентов из подсети 172.26.143.0 к подсети 10.1.5.0. В phase 2 пробовал прописать также эту подсеть.
-
10.1.3.250 - адрес l2tp сервера.
Кстати если кому пригодится L2TP подключение настраивал по статье https://knasys.ru/4-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-l2tp-%D0%B2-pfsense/
-
Все заработало ни с того ни сего. Странно конечно, но главное работает. Также в Phase 2 прописана подсеть kerio клиентов. В kerio прописаны подсети удаленных подсетей 10.1.5.0 и 10.1.3.0.
Всем большое спасибо!!!!
