IPSec между pfSense и DIR 130
-
Пытаюсь организовать туннель между двумя сетками через сеть провайдера. Никак не получается. Подскажите, какие настройки должны быть в pfSENSE и DLINK DIR 130?
Метод Pre-Shared Key -
Добавление. Заранее прошу прощения за незнание некоторой теории.
Схема такая.
Подсеть, где pfSense, имеет адреса 192.168.0.0/24. В сеть провайдера адрес 172.26.62.5.
Подсеть, где Dir130, имеет адреса 192.168.2.0/24. В сеть провайдера адрес 172.26.50.28.
Теперь по настройкам.
Нашел небольшой мануальчик. http://www.thegreenbow.com/doc/tgbvpn_cg-pfsense-router-en.pdf.
На основе него пытаюсь настраивать.
1. Если туннель между pfSense и роутером Dir 130, то во вкладке Tunnels ставим чек Enable IPsec, нажимаем сохранить и больше ничего не трогаем. Так?
2. Надо активировать Allow mobile clients на вкладке Mobile clients. Так?
3. Как заполнять поля Phase 1 proposal (Authentication)?
4. Как заполнять Phase 2 proposal (SA/Key Exchange)?
5. Как заполнять VPN: IPsec: Edit pre-shared key на вкладке Pre-Shared Keys?
В моем случае это должен быть IP адрес WAN Dir130 и кодовая строка?
6. Вкладку CAs не торогаем?
7. Какие настройки должны быть в DIR130?
8. И еще я не нашел где в Mobile clients где указывается Remote subnet и Remote gateway. Маршруты надо будет прописывать?
-
Удалось вроде поднять.
Все же в pfSense настройки прописывал во вкладке Тunnels добавлением нового туннеля. Мобильные клиенты не активировал.
Вот настройки.
Firewall: Rules: CityLAN
Dir130:
Есть вопросы.
Но почему-то из 192.168.2.0/24 (где DIR130) не пингуются компы из сети 192.168.0.0/24 (где pfSense).
И еще при пинге сети 192.168.2.0 появляется какая-то непонятная трасса
|–----------------------------------------------------------------------------------------|
| WinMTR statistics |Host - % Sent Recv Best Avrg Wrst Last pfsense.local - 0 7 7 0 0 0 0 No response from host - 100 7 0 0 0 0 0 REGISTRATURA111 - 0 7 7 0 0 0 0 Что за "No response from host" ?
-
Firewall->Rules->IPsec надо поменть Source на 192.168.2.0
Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24PS: "женской конс" грех не помочь…
-
Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24
а Source=CityLAN address или CityLAN subnet?
и это… точно Destination=192.168.2.0/24? не 192.168.0.0? -
Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24
а Source=CityLAN address или CityLAN subnet?
и это… точно Destination=192.168.2.0/24? не 192.168.0.0?CityLAN subnet
Destinanation - удалённая сетка, котороая подключена к DIR-130 -
сделал вот так:
@Evgeny:Firewall->Rules->IPsec надо поменть Source на 192.168.2.0
пинг пошел из сети 0.0 в 0.2 и обратно. всё нармал.
1)
@Evgeny:Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24
всё сделал так, но что-то я разницы особой не заметил (вообще никакой), что с активным правилом * 192.168.2.0/24 * LAN net * *, что в disabled
в чем соль этого правила?
2) какое правило написать, чтоб дать интернетику женской консультации 192.168.2.0?
3) почему-то не работает трассировка из 192.168.2.0 в 192.168.0.0, а пинг идет. это особенность ipsec? -
сделал вот так:
1)
всё сделал так, но что-то я разницы особой не заметил (вообще никакой), что с активным правилом * 192.168.2.0/24 * LAN net * *, что в disabled
в чем соль этого правила?Это на какой вкладке?
- какое правило написать, чтоб дать интернетику женской консультации 192.168.2.0?
никакое, это невозможно (дать ЖК пользоваться интернетом pfSense через ipsec)
- почему-то не работает трассировка из 192.168.2.0 в 192.168.0.0, а пинг идет. это особенность ipsec?
Что выдаёт? лог сюда пожалуйста
-
сделал вот так:
1)
всё сделал так, но что-то я разницы особой не заметил (вообще никакой), что с активным правилом * 192.168.2.0/24 * LAN net * *, что в disabled
в чем соль этого правила?Это на какой вкладке?
- какое правило написать, чтоб дать интернетику женской консультации 192.168.2.0?
никакое, это невозможно (дать ЖК пользоваться интернетом pfSense через ipsec)
- почему-то не работает трассировка из 192.168.2.0 в 192.168.0.0, а пинг идет. это особенность ipsec?
Что выдаёт? лог сюда пожалуйста
1. на вкладке Firewall->Rules->CityLAN
2. извините не понял. смутили скобки
3. вот трасса из 2.0 в 0.1|–----------------------------------------------------------------------------------------|
| WinMTR statistics |Host - % Sent Recv Best Avrg Wrst Last 192.168.2.1 - 0 24 24 0 0 0 0 No response from host - 100 23 0 0 0 0 0 192.168.0.10 - 0 23 23 0 0 0 0 ________________________________________________ ______ ______ ______ ______ ______ ______ WinMTR - 0.8. Copyleft @2000-2002 Vasile Laurentiu Stanimir ( stanimir@cr.nivis.com ) из 0.0 в 2.0
|–----------------------------------------------------------------------------------------|
| WinMTR statistics |Host - % Sent Recv Best Avrg Wrst Last pfsense.local - 0 11 11 0 0 0 0 No response from host - 100 11 0 0 0 0 0 192.168.2.2 - 0 10 10 0 0 0 0 ________________________________________________ ______ ______ ______ ______ ______ ______ WinMTR - 0.8. Copyleft @2000-2002 Vasile Laurentiu Stanimir ( stanimir@cr.nivis.com ) No response from host - что это такое? и из-за чего?
-
1. Я говорил, что там надо сделать "Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24", а правила, которые у тебя были не нужны, так как там не ходит IPSec трафика
2. Женская консультация сможет получить инет только через свой DIR130, не через pfSense.
3. Я такие трассы не понимаю, ни разу не видел. Чем это сделано? Нельзя с обычной машины запустить tracert или traceroute? -
1. Я говорил, что там надо сделать "Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24", а правила, которые у тебя были не нужны, так как там не ходит IPSec трафика
2. Женская консультация сможет получить инет только через свой DIR130, не через pfSense.
3. Я такие трассы не понимаю, ни разу не видел. Чем это сделано? Нельзя с обычной машины запустить tracert или traceroute?1. попутал правила когда написал
всё сделал так, но что-то я разницы особой не заметил (вообще никакой), что с активным правилом * 192.168.2.0/24 * LAN net * *, что в disabled
не то правило и не с той вкладки скопировал.
разницы нет с активным и деактивированным * CityLAN net * 192.168.2.0/24 * *
2.1. то что в моем случае для ЖК нельзя дать Интернета через IPSec, это особенность IPSec? Просто раньше у меня был с ЖК туннель PPTP и я правилом на вкладке Firewall->Rules->PPTP мог регулировать куда пустить (Destination) клиента только в LAN net или всюду (*).- 192.168.22.202 * LAN net * *
- 192.168.22.202 * * * *
Здесь с IPSec нельзя также?
2.2.через прокси на pf будет рабоать инет?
2.3 такой вариант подойдет? если также как раньше поднять PPTP сервер на PF с доступом Интернет и методом Russian Dual Access подсоединиться к PF с Дира?
-
Как-то мы удалились от темы:
@garald50:Пытаюсь организовать туннель между двумя сетками через сеть провайдера. Никак не получается. Подскажите, какие настройки должны быть в pfSENSE и DLINK DIR 130?
Метод Pre-Shared KeyТоннель поднят? работает? Классно -)
Дальше - через ipsec интернет прогнать нельзя, считай это особенностью ipsec (может меня кто поправит?)
Остальные вопросы - не очень понимаю.
Совет один (как обычно) - надо чётко представлять, что хочется построить в итоге, наметить план, и успешно двигаться по намеченному плану -) -
Ладно. Действительно :)
Завтра выложу результаты команды tracert. Этот вопрос решим. И у темы повешу бирку "РЕШЕНО". -
Проблемные на мой взгляд трассировки
из 0.0 в 2.0:Трассировка маршрута к 192.168.2.2 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс pfsense.local [192.168.0.16]
2 * * * Превышен интервал ожидания для запроса.
3 2 ms 1 ms 1 ms 192.168.2.2
Трассировка завершена.из 2.0 в 0.0
Трассировка маршрута к 192.168.0.45 с максимальным числом прыжков 30
1 <1 мс <1 мс <1 мс 192.168.2.1
2 * * * Превышен интервал ожидания для запроса.
3 1 ms 1 ms 1 ms 192.168.0.45
Трассировка завершена.Что означает трасса под номером 2?
- все-таки разницы нет что с правилом * CityLAN net * 192.168.2.0/24 * * на вкладке Firewall->Rules->CityLAN, что без него. туннель поднимается, пинги и трасса в обоих случаях как показано выше. в чем причина?
добавлено:
3) в Diagnostics: System logs: IPSEC VPN сыпится во такой лог:Nov 26 15:30:00 racoon: ERROR: failed to bind to address 172.26.62.5[500] (Address already in use).
Nov 26 15:30:00 racoon: [Self]: INFO: 192.168.0.16[500] used as isakmp port (fd=18)
Nov 26 15:30:00 racoon: [Self]: INFO: 172.26.62.5[500] used as isakmp port (fd=14)
Nov 26 15:30:00 racoon: [Self]: INFO: 10.0.8.1[500] used as isakmp port (fd=15)
Nov 26 15:30:00 racoon: [Self]: INFO: 10.16.32.173[500] used as isakmp port (fd=16)
Nov 26 15:30:00 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=17)что-то не исправно?
-
Интернет (0.0.0.0/0) через IPSEC . имеется ввиду шлюз на который приходит серый IP по IPSEC и далее через NAT в интернет …
на узле где есть интернет делаем тунель где local subnet 0.0.0.0/0 а remote subnet та серая сеть, например 192.168.1.0/24 . На другом конце настройки соответственно наоборот. Далее добавим правило в NAT (если надо, хотя никто не запрещает и реальные сетки/адреса так пробрасывать). -
- все-таки разницы нет что с правилом * CityLAN net * 192.168.2.0/24 * * на вкладке Firewall->Rules->CityLAN, что без него. туннель поднимается, пинги и трасса в обоих случаях как показано выше. в чем причина?
Покажи все правила.
-
вкладка CityLAN
Proto Source Port Destination Port Gateway
- 172.17.2.10 * Interface IP address * *
- 172.26.50.28 * Interface IP address * *
- 172.31.53.12 * Interface IP address * *
- CityLAN net * 192.168.2.0/24 * *
- CityLAN net * 192.168.1.0/24 * *
вкладка PPTP vpn
- 192.168.22.196 * * * *
вкладка IPSec
- 192.168.2.0/24 * LAN net * *
- 192.168.1.0/24 * LAN net * *
- LAN net * * * *
вкладка LAN
- NAT_Internet_IP * * * *
-
Если удаляешь
* CityLAN net * 192.168.2.0/24 * *
с CityLAN, то пинги из 192.168.0.0/24 не должны идти в 192.168.2.0/24 -
Заметил такую "шляпу".
Если Дир130 с работающим IPSec-тоннелем не на долгое (или на долгое) время обесточить или перезагрузить. Туннель перестает работать.
Это выглядит так - горит зеленая стрелка в "status/ipsec", но я не могу пинговаться ни туды ни сюды! Тоннель мертв.
Если я делаю рестарт raccon, то становится всё окей.Хочу, чтобы cron рестартовал автоматически службу raccon, если ipsec тоннель мертв.
Подскажите, как это сделаьт?