IpSec, локальная сеть. [РЕШЕНО]
-
Вобщем почитал pfsense book, делал правила, маршруты. Всё равно какой то затык. Пингуется всё. Открывается админка pfsense на другой стороне, телнетился сетевой принтер и я его даже подключил и распечатать смог по ipsec сети. Нужный мне комп только пингуется, нужные порты по телнету недоступны. трасерт идёт.
Версии сенсов 1.2.2 и 1.2.3 для ipsec разница, что в 1.2.2 нет раздела DPD поля.
У кого работает, выложите скрины или краткий ман? спасибо.
-
По IPSec-у думается нужно разрешить все. Какой смысл разрешать отдельные порты между локалками и потом гадать почему протоколы микрософта не работают..
-
По IPSec-у думается нужно разрешить все. Какой смысл разрешать отдельные порты между локалками и потом гадать почему протоколы микрософта не работают..
Это я телнетил несколько портов, а разрешал всё.
lan net = 192.168.147.0/24
192.168.1.0/24 удалённая локалка
-
Нужный мне комп только пингуется, нужные порты по телнету недоступны. трасерт идёт.
tcpdump на LAN, к которому комп подключен, поможет.
-
А со звездочками не работает тоже?
IPSec TCP/UDP * * * * *
LAN TCP/UDP from LAN to 192.168.1.0/24
LAN TCP/UDP from 192.168.1.0/24 to LAN -
А со звездочками не работает тоже?
IPSec TCP/UDP * * * * *
LAN TCP/UDP from LAN to 192.168.1.0/24
LAN TCP/UDP from 192.168.1.0/24 to LANК сожалению тоже, не работает. Меня удивляет, почему открылась админка другого сенса (через его локальный ip) + доступен сетевой принтер (опять же из другой подсети), т.е. он как-то частично что ли работает.
В разделе Лан разрешал нужные порты, потом там же ставил первое правило, разрешающее всё. В ван снял галки блок bogon networks, поставил галку bybass traffic… -
По netbios имени из другой подсети может и не достучаться. попробуйте зайти на шары компов по ip адресам.
-
По netbios имени из другой подсети может и не достучаться. попробуйте зайти на шары компов по ip адресам.
я по ip заходил, т.к. по dns они не разрешались
дословно: пуск-выполнить \192.168.1.109
Ещё проверял шару из той же самой сети, всё открывается. Компы не в домене, политику никакую не применяют. -
Ну тогда TcpDump
-
Ну тогда TcpDump
Это на днях, т.к. сегодня комп благополучно выключен, а завтра инета не будет.
Вопрос только есть, слушать с сенса или с проблемного компа? И какие ключи дампа порекомендуете?
-
Ну тогда TcpDump
Это на днях, т.к. сегодня комп благополучно выключен, а завтра инета не будет.
Вопрос только есть, слушать с сенса или с проблемного компа? И какие ключи дампа порекомендуете?
Лучше на сенсе для начала. Никаких особых ключей не надо
tcpdump -ni <имя интерфейса> host <ip хоста="">Запусти одновременно на обоих pf, сравним потом.</ip> -
Скрин роутера офиса
PfSense 192.168.1.254 (ver 1.2.2)
-
Скрин роутера бухгалтерии
Pfsense 192.168.147.1 (ver 1.2.3 R)
-
Dasti, сделайте алиас на порты. Замучаетесь же правила редактировать при малейшем изменении сети.
-
Dasti, сделайте алиас на порты. Замучаетесь же правила редактировать при малейшем изменении сети.
"Век живи - век учись", чем и стараюсь заниматься. За фишку спасибо, как то внимания на альиас для портов не обратил.
-
Вопрос ещё актуален, прошу волшебного пинка в нужную сторону.
-
Нужный мне комп находится в подсети А, его ИП 192.168.1.109.
После запуска дампов была выполнена команда telnet 192.168.1.109 138 с ПК подсети В (с ип 192.168.147.200) и попытка открыть шару через \192.168.1.109Я не вижу правил…
Вот как это должно быть если "Телнет в подсеть А telnet 192.168.1.109 138 с ПК подсети В (с 192.168.147.200)"
1. пакет прибывает на интерфейс LAN B, здесь должно быть правило TCP from LAN to 192.168.1.0/24 port 138
2. улетает в тоннель (убери статический маршрут, он бесполезен в случае с IPSec)
3. прибывает на интерфейс IPSEC pf A, там должно быть правило TCP from 192.168.147.0/24 to LAN port 138
4. уходит на машину 192.168.1.109
5. машина отвечает (у машины должен быть либо default gateway pfA.LAN interface IP, либо статический маршрут 192.168.147.0/24 -> pfA.LAN interface IP. Для обратного трафика никаких правил не нужно.Давай, убедись, что у тебя всё так и по новой телнет с tcpdump'ами.
-
Нужный мне комп находится в подсети А, его ИП 192.168.1.109.
После запуска дампов была выполнена команда telnet 192.168.1.109 138 с ПК подсети В (с ип 192.168.147.200) и попытка открыть шару через \192.168.1.109Я не вижу правил…
Вот как это должно быть если "Телнет в подсеть А telnet 192.168.1.109 138 с ПК подсети В (с 192.168.147.200)"
1. пакет прибывает на интерфейс LAN B, здесь должно быть правило TCP from LAN to 192.168.1.0/24 port 138
2. улетает в тоннель (убери статический маршрут, он бесполезен в случае с IPSec)
3. прибывает на интерфейс IPSEC pf A, там должно быть правило TCP from 192.168.147.0/24 to LAN port 138
4. уходит на машину 192.168.1.109
5. машина отвечает (у машины должен быть либо default gateway pfA.LAN interface IP, либо статический маршрут 192.168.147.0/24 -> pfA.LAN interface IP. Для обратного трафика никаких правил не нужно.Давай, убедись, что у тебя всё так и по новой телнет с tcpdump'ами.
Спасибо, проверил правила по твоей схеме, у меня не хватало разрешающих правил на ланах в локальную подсеть другого офиса.
-
Закрываем?