Не работает туннель на IPsec
-
Добрый день.
Есть 2 роутера на PFsense 1.2.3 Пытаюсь поднять ipsec туннель между 2 сетями.
Сам туннель поднимается (появляется зеленая стрелка) но пингов нет.
Все выглядит вот так
конфиг IPSEC pf sense1
INTERFACE WAN
LOCAL SUBNET Lan subnet
Remote subnet 10.1.3.0/24
Remote gateway 10.2.2.1конфиг IPSEC PFsens2
INTERFACE WAN
LOCAL SUBNET Lan subnet
Remote subnet 192.168.1.0/24
Remote gateway 10.2.2.2Если запустить пинг из одной подсети в другую создается туннель (появляется зеленая стрелка) но пинг не проходит, хотя по логам видно что пакет был отправлен и принят.
Маршрутов нигде не прописывал.
Правилами разрешено все и всем.
Кусок лога ipsec
Sep 9 12:36:05 racoon: INFO: @(#)ipsec-tools 0.7.2 (http://ipsec-tools.sourceforge.net)
Sep 9 12:36:05 racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
Sep 9 12:36:05 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
Sep 9 12:36:05 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
Sep 9 12:36:05 racoon: [Self]: INFO: 10.2.2.1[500] used as isakmp port (fd=15)
Sep 9 12:36:05 racoon: [Self]: INFO: 10.1.3.20[500] used as isakmp port (fd=16)
Sep 9 12:36:05 racoon: INFO: unsupported PF_KEY message REGISTER
Sep 9 12:37:30 racoon: []: INFO: IPsec-SA request for 10.2.2.2 queued due to no phase1 found.
Sep 9 12:37:30 racoon: []: INFO: initiate new phase 1 negotiation: 10.2.2.1[500]<=>10.2.2.2[500]
Sep 9 12:37:30 racoon: INFO: begin Aggressive mode.
Sep 9 12:37:30 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Sep 9 12:37:30 racoon: INFO: received Vendor ID: DPD
Sep 9 12:37:30 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
Sep 9 12:37:30 racoon: []: INFO: ISAKMP-SA established 10.2.2.1[500]-10.2.2.2[500] spi:ce5dadbdd2cb6520:e5adb6efbe054a6b
Sep 9 12:37:31 racoon: []: INFO: initiate new phase 2 negotiation: 10.2.2.1[500]<=>10.2.2.2[500]
Sep 9 12:37:31 racoon: []: INFO: IPsec-SA established: AH 10.2.2.2[0]->10.2.2.1[0] spi=20372851(0x136dd73)
Sep 9 12:37:31 racoon: []: INFO: IPsec-SA established: AH 10.2.2.1[0]->10.2.2.2[0] spi=236561706(0xe19a52a)Помогите пожалуйста.
-
Firewall -> Rules -> Ipsec
Разрешите всё (*) и снова ping… -
Firewall -> Rules -> Ipsec
Разрешите всё (*) и снова ping…В рулах для лан тоже надо разрешить доступ к удалённой подсети. А топикстартеру - поиск по форуму.
-
Для Lan по умолчанию всё разрешено.
-
Для Lan по умолчанию всё разрешено.
Иногда нужно прописывать конкретно, я сам с ipsec трахался 2 недели.
-
-
Правила прописал вручную для Lan, Wan, IPsec разрешить все на обеих машинах.
Запускаю на 192.168.1.7 ping 10.1.3.250
На PFsens1:
STATUS>IPsec появляется туннель с зеленой стрелкой
sourc 10.2.2.2 dest 10.2.2.1
10.1.3.0/24
STATUS>System Log> Firewall уходит пакет LAN 192.168.1.7 10.1.3.250 ICMPНа PFsens2
STATUS>IPsec появляется туннель с зеленой стрелкой
sourc 10.2.2.1 dest 10.2.2.2
192.168.1.0/24
STATUS>System Log> Firewall приходит пакет WAN 192.168.1.7 10.1.3.250 ICMP
Может PFsens2 просто не знает что с этим пакетом дальше делать и надо маршрут гдето вручную прописать ? -
Пропиши статические маршруты для удаленной сети через LAN интерфейс на противоположной стороне.
на PF1
сеть 10.1.3.0/24 шлюз 10.1.3.20
на PF2
сеть 192.168.1.0/24 шлюз 192.168.1.20
и все должно заработать. -
На pfSense2
tcpdump -ni <здесь имя LAN-интерфейса поставь> icmp
и пингуй, что видно?
-
Все заработало.
Развернул еще один стенд сделал все тоже самое заработало с 1 раза. Стал сравнивать настройки нашел косяк: на 1 стенде в настройках туннеля стояло
Phase 2 proposal
Protocol AH
поменял на ESP все запустилось.
Возник вопрос: За что отвечает данный параметр ?