IpSec, локальная сеть. [РЕШЕНО]
-
Ну тогда TcpDump
Это на днях, т.к. сегодня комп благополучно выключен, а завтра инета не будет.
Вопрос только есть, слушать с сенса или с проблемного компа? И какие ключи дампа порекомендуете?
-
Ну тогда TcpDump
Это на днях, т.к. сегодня комп благополучно выключен, а завтра инета не будет.
Вопрос только есть, слушать с сенса или с проблемного компа? И какие ключи дампа порекомендуете?
Лучше на сенсе для начала. Никаких особых ключей не надо
tcpdump -ni <имя интерфейса> host <ip хоста="">Запусти одновременно на обоих pf, сравним потом.</ip> -
Скрин роутера офиса
PfSense 192.168.1.254 (ver 1.2.2)
-
Скрин роутера бухгалтерии
Pfsense 192.168.147.1 (ver 1.2.3 R)
-
Dasti, сделайте алиас на порты. Замучаетесь же правила редактировать при малейшем изменении сети.
-
Dasti, сделайте алиас на порты. Замучаетесь же правила редактировать при малейшем изменении сети.
"Век живи - век учись", чем и стараюсь заниматься. За фишку спасибо, как то внимания на альиас для портов не обратил.
-
Вопрос ещё актуален, прошу волшебного пинка в нужную сторону.
-
Нужный мне комп находится в подсети А, его ИП 192.168.1.109.
После запуска дампов была выполнена команда telnet 192.168.1.109 138 с ПК подсети В (с ип 192.168.147.200) и попытка открыть шару через \192.168.1.109Я не вижу правил…
Вот как это должно быть если "Телнет в подсеть А telnet 192.168.1.109 138 с ПК подсети В (с 192.168.147.200)"
1. пакет прибывает на интерфейс LAN B, здесь должно быть правило TCP from LAN to 192.168.1.0/24 port 138
2. улетает в тоннель (убери статический маршрут, он бесполезен в случае с IPSec)
3. прибывает на интерфейс IPSEC pf A, там должно быть правило TCP from 192.168.147.0/24 to LAN port 138
4. уходит на машину 192.168.1.109
5. машина отвечает (у машины должен быть либо default gateway pfA.LAN interface IP, либо статический маршрут 192.168.147.0/24 -> pfA.LAN interface IP. Для обратного трафика никаких правил не нужно.Давай, убедись, что у тебя всё так и по новой телнет с tcpdump'ами.
-
Нужный мне комп находится в подсети А, его ИП 192.168.1.109.
После запуска дампов была выполнена команда telnet 192.168.1.109 138 с ПК подсети В (с ип 192.168.147.200) и попытка открыть шару через \192.168.1.109Я не вижу правил…
Вот как это должно быть если "Телнет в подсеть А telnet 192.168.1.109 138 с ПК подсети В (с 192.168.147.200)"
1. пакет прибывает на интерфейс LAN B, здесь должно быть правило TCP from LAN to 192.168.1.0/24 port 138
2. улетает в тоннель (убери статический маршрут, он бесполезен в случае с IPSec)
3. прибывает на интерфейс IPSEC pf A, там должно быть правило TCP from 192.168.147.0/24 to LAN port 138
4. уходит на машину 192.168.1.109
5. машина отвечает (у машины должен быть либо default gateway pfA.LAN interface IP, либо статический маршрут 192.168.147.0/24 -> pfA.LAN interface IP. Для обратного трафика никаких правил не нужно.Давай, убедись, что у тебя всё так и по новой телнет с tcpdump'ами.
Спасибо, проверил правила по твоей схеме, у меня не хватало разрешающих правил на ланах в локальную подсеть другого офиса.
-
Закрываем?