CISCO2pfsense GRE tunnel
-
просьба удалить тему
-
Всего много в кучу написал, правила pf пока не нужны, netstat для ipv6 мог бы тоже вырезать
Проблема, что ты пингуешь с роутера (pfsense) и не пингуешь сеть за циской? а это из-за того, что нужно указывать с какого интерфейса пинговать, потому что он пытается пинговать по умолчанию со своего внешнего и не видит GRE тунель
покажи ifconfig на pfsense
поднялся ли сам тунель, то есть пингуется ли циска с пфсенса
ping -S 10.0.0.1 10.0.0.2 -
изменил скрипт:
#!/bin/sh Ip_Router=10.0.0.1 Ip_BR=10.0.0.2 RIp_Router=**.151.5.33 RIp_BR=**.85.238.133 vpn_netmask=255.255.255.252 mts_ip_BR=1.1.1.1 mts_netmask=255.255.255.248 corp_net=255.255.255.0 GGSN=1.1.1.2 win_server=192.168.1.10 ifconfig gre0 destroy ifconfig gre0 create ifconfig lo0 alias $Ip_Router ifconfig gre0 $Ip_Router $Ip_BR netmask $vpn_netmask ifconfig gre0 tunnel $RIp_Router $RIp_BR route add $Ip_BR -iface gre0 route add $Ip_BR -netmask $vpn_netmask $Ip_Router
ping -S 10.0.0.1 10.0.0.2 PING 10.0.0.2 (10.0.0.2) from 10.0.0.1: 56 data bytes ping: sendto: Operation not permitted ping: sendto: Operation not permitted ping: sendto: Operation not permitted ping: sendto: Operation not permitted ping: sendto: Operation not permitted ping: sendto: Operation not permitted ping: sendto: Operation not permitted ^C --- 10.0.0.2 ping statistics --- 7 packets transmitted, 0 packets received, 100.0% packet loss
ifconfig vr0: flags=8943 <up,broadcast,running,promisc,simplex,multicast>metric 0 mtu 1500 options=2808 <vlan_mtu>ether 00:22:b0:53:6d:35 inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255 inet6 fe80::222:b0ff:fe53:6d35%vr0 prefixlen 64 scopeid 0x1 media: Ethernet autoselect (100baseTX <full-duplex>) status: active rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=8 <vlan_mtu>ether 00:10:dc:4e:b6:12 inet6 inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active pflog0: flags=100 <promisc>metric 0 mtu 33204 lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384 inet 127.0.0.1 netmask 0xff000000 inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 inet 10.0.0.1 netmask 0xff000000 enc0: flags=0<> metric 0 mtu 1536 pfsync0: flags=41 <up,running>metric 0 mtu 1460 pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128 gre0: flags=9051 <up,pointopoint,running,link0,multicast>metric 0 mtu 1476 tunnel inet **.151.5.33 --> **.85.238.133 inet 10.0.0.1 --> 10.0.0.2 netmask 0xfffffffc inet6</up,pointopoint,running,link0,multicast></up,running></up,loopback,running,multicast></promisc></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu></up,broadcast,running,promisc,simplex,multicast>
-
Не понял
vr0: inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
rl0: inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255эт как?
у тебя адсл модем не в бридже получается?
-
Не понял
vr0: inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
rl0: inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255эт как?
у тебя адсл модем не в бридже получается?
Ip роутера прописан как DMZ хост
–--
поставил как бридж - не помогло. -
лучше ставь бридж
потому что pfsense(роутер)-модем(роутер)-тунель-cisco, лучше лишний роутер(модем из схемы пока убрать)
покажи в бридже шасщташп и пинг
-
sh gre.sh route: writing to routing socket: File exists add host 10.0.0.2: gateway gre0: route already in table route: writing to routing socket: Network is unreachable add net 10.0.0.2: gateway 10.0.0.1: Network is unreachable route: writing to routing socket: Network is unreachable add net 1.1.1.0: gateway 10.10.10.0: Network is unreachable gre0: flags=9051 <up,pointopoint,running,link0,multicast>metric 0 mtu 1476 tunnel inet **.151.5.33 --> **.85.238.133 inet 10.0.0.1 --> 10.0.0.2 netmask 0xfffffffc inet6 fe80::222:b0ff:fe53:6d35%gre0 prefixlen 64 scopeid 0x8 route to: 10.10.10.2 destination: default mask: default gateway: **.151.0.38 interface: ng0 flags: <up,gateway,done,static>recvpipe sendpipe ssthresh rtt,msec rttvar hopcount mtu expire 0 0 0 0 0 0 1492 0 # ping 10.0.0.1 PING 10.0.0.1 (10.0.0.1): 56 data bytes 36 bytes from 217.173.16.141: Destination Host Unreachable Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 5400 47d6 0 0000 3c 01 d41a **.151.5.33 10.0.0.1 36 bytes from 217.173.16.141: Destination Host Unreachable Vr HL TOS Len ID Flg off TTL Pro cks Src Dst 4 5 00 5400 67c1 0 0000 3c 01 b42f **.151.5.33 10.0.0.1</up,gateway,done,static></up,pointopoint,running,link0,multicast>
more gre.sh #!/bin/sh Ip_Router=10.0.0.1 Ip_BR=10.0.0.2 RIp_Router=**.151.5.33 RIp_BR=**.85.238.133 vpn_netmask=255.255.255.252 mts_ip_BR=1.1.1.1 mts_netmask=255.255.255.248 APN_corp=255.255.255.0 GGSN=1.1.1.2 WIN_server=192.168.1.10 ifconfig gre0 destroy ifconfig gre0 create #ifconfig lo0 alias $Ip_Router # ??? ifconfig gre0 $Ip_Router $Ip_BR netmask $vpn_netmask ifconfig gre0 tunnel $RIp_Router $RIp_BR route add $Ip_BR -iface gre0 route add $Ip_BR -netmask $vpn_netmask $Ip_Router route add -net 1.1.1.0 -netmask $APN_corp 10.10.10.0 ifconfig gre0 route get 10.10.10.2
ifconfig
vr0: flags=8943 <up,broadcast,running,promisc,simplex,multicast>metric 0 mtu 1500 options=2808 <vlan_mtu>ether 00:22:b0:53:6d:35 inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255 inet6 fe80::222:b0ff:fe53:6d35%vr0 prefixlen 64 scopeid 0x1 media: Ethernet autoselect (100baseTX <full-duplex>) status: active rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=8 <vlan_mtu>ether 00:10:dc:4e:b6:12 inet6 fe80::210:dcff:fe4e:b612%rl0 prefixlen 64 scopeid 0x2 media: Ethernet autoselect (100baseTX <full-duplex>) status: active pflog0: flags=100 <promisc>metric 0 mtu 33204 lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384 inet 127.0.0.1 netmask 0xff000000 inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 enc0: flags=0<> metric 0 mtu 1536 pfsync0: flags=41 <up,running>metric 0 mtu 1460 pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128 ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1492 inet <**.151.5.33 --> **.151.0.38 netmask 0xffffffff gre0: flags=9051 <up,pointopoint,running,link0,multicast>metric 0 mtu 1476 tunnel inet **.151.5.33 --> **.85.238.133 inet 10.0.0.1 --> 10.0.0.2 netmask 0xfffffffc</up,pointopoint,running,link0,multicast></up,pointopoint,running,noarp,simplex,multicast></up,running></up,loopback,running,multicast></promisc></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu></up,broadcast,running,promisc,simplex,multicast>
-
верся pfsense 1.2.2
-
Да дело не в pfsense, ты как-то неправильно тунель поднимаешь, просто сходу ответить не могу
и у rl0 не увидел ip -
ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1492
inet **.151.5.33 –> **.151.0.38 netmask 0xffffffff
На роутере поднимается pppoe. (Теперь модем-то бриджем)</up,pointopoint,running,noarp,simplex,multicast> -
Похоже опять та же проблема - PPTP over PPPoE?
Я бы наверное всё-таки попробовал настроить в режиме, когда modem заботится о PPPoE. Одним PPP на pfSense меньше.
deutsche, а что тебя подвинуло писать скрипты? Не полусчилось поднять WAN c type=PPTP? -
Похоже опять та же проблема - PPTP over PPPoE?
Я бы наверное всё-таки попробовал настроить в режиме, когда modem заботится о PPPoE. Одним PPP на pfSense меньше.
deutsche, а что тебя подвинуло писать скрипты? Не полусчилось поднять WAN c type=PPTP?Не нужен WAN over PPTP, тогда не будет доступа во всемирную паутину(он необходим, а второтого канала нет и е предвитдтися), т.к. VPN сеть чисто корпоративная.
-
Da, erundu skazal. Kakov u tebya tekuschiy config? Sootvetstvuyet diagramme iz pervogo posta?
-
Da, erundu skazal. Kakov u tebya tekuschiy config? Sootvetstvuyet diagramme iz pervogo posta?
конфиг внешних сетей не менялся. пока настроено с PPPOE. Завтра опять буду пробовать с DMZ.
-
Когда ты сказал
Со стороны сотрудников трафик(пинги) идет до адреса 1.1.1.1.
ты имел ввиду что с компьютера в 192.168.1.10 ping на 1.1.1.1 был успешен?
-
Я имел в виду удаленных, из сети 10.10.10.0/24
-
Значит, похоже, тоннель никогда не поднимался.
Скрипты это хорошо, но тут есть ещё один подводный камень. Что делать с правилами? Придётся тоже динамически прописывать, при чём каждый раз, когда что-то меняешь в gui.
А что мешает поднять нормальный ipsec?
Или если уж нужен GRE тогда на мой взгляд проще использовать чистый FreeBSD без всяких pfSense'ов. -
тунель тут 100% не поднимался
PPPoE это сурово… на было опыта у меня в ptpp через pppoe