IPSec между pfSense и DIR 130

Eugene

1. Я говорил, что там надо сделать "Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24", а правила, которые у тебя были не нужны, так как там не ходит IPSec трафика
2. Женская консультация сможет получить инет только через свой DIR130, не через pfSense.
3. Я такие трассы не понимаю, ни разу не видел. Чем это сделано? Нельзя с обычной машины запустить tracert или traceroute?

garald50

@Evgeny:

1. Я говорил, что там надо сделать "Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24", а правила, которые у тебя были не нужны, так как там не ходит IPSec трафика
2. Женская консультация сможет получить инет только через свой DIR130, не через pfSense.
3. Я такие трассы не понимаю, ни разу не видел. Чем это сделано? Нельзя с обычной машины запустить tracert или traceroute?

1. попутал правила когда написал

всё сделал так, но что-то я разницы особой не заметил (вообще никакой), что с активным правилом * 192.168.2.0/24 * LAN net * *, что в disabled

не то правило и не с той вкладки скопировал.
разницы нет с активным и деактивированным * CityLAN net * 192.168.2.0/24 * *
2.1. то что в моем случае для ЖК нельзя дать Интернета через IPSec, это особенность IPSec? Просто раньше у меня был с ЖК туннель PPTP и я правилом на вкладке Firewall->Rules->PPTP мог регулировать куда пустить (Destination) клиента только в LAN net или всюду (*).

• 192.168.22.202 * LAN net * *
• 192.168.22.202 * * * *
  Здесь с IPSec нельзя также?
  2.2.через прокси на pf будет рабоать инет?
  2.3 такой вариант подойдет? если также как раньше поднять PPTP сервер на PF с доступом Интернет и методом Russian Dual Access подсоединиться к PF с Дира?

Eugene

Как-то мы удалились от темы:
@garald50:

Пытаюсь организовать туннель между двумя сетками через сеть провайдера. Никак не получается. Подскажите, какие настройки должны быть в pfSENSE и DLINK DIR 130?
Метод Pre-Shared Key

Тоннель поднят? работает? Классно -)
Дальше - через ipsec интернет прогнать нельзя, считай это особенностью ipsec (может меня кто поправит?)
Остальные вопросы - не очень понимаю.
Совет один (как обычно) - надо чётко представлять, что хочется построить в итоге, наметить план, и успешно двигаться по намеченному плану -)

garald50

Ладно. Действительно :)
Завтра выложу результаты команды tracert. Этот вопрос решим. И у темы повешу бирку "РЕШЕНО".

garald50

Проблемные на мой взгляд трассировки
из 0.0 в 2.0:

Трассировка маршрута к 192.168.2.2 с максимальным числом прыжков 30
 1    <1 мс    <1 мс    <1 мс  pfsense.local [192.168.0.16]
 2     *        *        *     Превышен интервал ожидания для запроса.
 3     2 ms     1 ms     1 ms  192.168.2.2
Трассировка завершена.

из 2.0 в 0.0

Трассировка маршрута к 192.168.0.45 с максимальным числом прыжков 30
 1    <1 мс    <1 мс    <1 мс  192.168.2.1
 2     *        *        *     Превышен интервал ожидания для запроса.
 3     1 ms     1 ms     1 ms  192.168.0.45
Трассировка завершена.

Что означает трасса под номером 2?

2. все-таки разницы нет что с правилом * CityLAN net * 192.168.2.0/24 * * на вкладке Firewall->Rules->CityLAN, что без него. туннель поднимается, пинги и трасса в обоих случаях как показано выше. в чем причина?

добавлено:
3) в Diagnostics: System logs: IPSEC VPN сыпится во такой лог:

Nov 26 15:30:00 racoon: ERROR: failed to bind to address 172.26.62.5[500] (Address already in use).
Nov 26 15:30:00 racoon: [Self]: INFO: 192.168.0.16[500] used as isakmp port (fd=18)
Nov 26 15:30:00 racoon: [Self]: INFO: 172.26.62.5[500] used as isakmp port (fd=14)
Nov 26 15:30:00 racoon: [Self]: INFO: 10.0.8.1[500] used as isakmp port (fd=15)
Nov 26 15:30:00 racoon: [Self]: INFO: 10.16.32.173[500] used as isakmp port (fd=16)
Nov 26 15:30:00 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=17)

что-то не исправно?

izuware

Интернет (0.0.0.0/0) через IPSEC . имеется ввиду шлюз на который приходит серый IP по IPSEC и далее через  NAT в интернет …
на узле где есть интернет делаем тунель где local subnet 0.0.0.0/0  а remote subnet та серая сеть, например 192.168.1.0/24 . На другом конце настройки соответственно наоборот. Далее добавим правило в NAT (если надо, хотя никто не запрещает и реальные сетки/адреса так пробрасывать).

Eugene

@garald50:

2. все-таки разницы нет что с правилом * CityLAN net * 192.168.2.0/24 * * на вкладке Firewall->Rules->CityLAN, что без него. туннель поднимается, пинги и трасса в обоих случаях как показано выше. в чем причина?

Покажи все правила.

garald50

вкладка CityLAN

Proto Source Port Destination Port Gateway

• 172.17.2.10 * Interface IP address * *
• 172.26.50.28 * Interface IP address * *
• 172.31.53.12 * Interface IP address * *
• CityLAN net * 192.168.2.0/24 * *
• CityLAN net * 192.168.1.0/24 * *

вкладка PPTP vpn

• 192.168.22.196 * * * *

вкладка IPSec

• 192.168.2.0/24 * LAN net * *
• 192.168.1.0/24 * LAN net * *
• LAN net * * * *

вкладка LAN

• NAT_Internet_IP * * * *

Eugene

Если удаляешь
*    CityLAN net    *    192.168.2.0/24    *    *
с CityLAN, то пинги из 192.168.0.0/24 не должны идти в 192.168.2.0/24

garald50

Заметил такую "шляпу".
Если Дир130 с работающим IPSec-тоннелем не на долгое (или на долгое) время обесточить или перезагрузить. Туннель перестает работать.
Это выглядит так - горит зеленая стрелка в "status/ipsec", но я не могу пинговаться ни туды ни сюды! Тоннель мертв.
Если я делаю рестарт raccon, то становится всё окей.

Хочу, чтобы cron рестартовал автоматически службу raccon, если ipsec тоннель мертв.
Подскажите, как это сделаьт?