IPsec: Помогите разобраться с маршрутизацией

krotish

Добрый день!

Описываю ситуацию:
есть локалка A: 192.168.75.0/24
её основной шлюз — 192.168.75.225
локалка А имеет доступ в интернет. (WAN, белый IP)

есть локалка B: 192.168.51.0/24
её основной шлюз — 192.168.51.225
локалка B не имеет доступа в интернет, есть только доступ до локалки А. (WAN, серый IP 10.x.x.x)

На основных шлюзах локальных сетей установлен pfSense 2.0. Сети объединены при помощи туннеля IPsec.
Результат: из сети А пингуется сеть B и из сети B пингуется сеть А.

Итак, собственно сам вопрос:
Цель: В локалке B должен быть интернет. Получать она его должна из локалки A.
Вопрос, как прописать маршрутизацию в сетях и позволяет ли IPsec туннели реализовать заданное?

werter

Правила fw покрутите. И всё заработает.

krotish

Знать бы, какие именно.
Пока что на ум ничего не приходит. Поэтому и обратился за помощью.

xtc

сам не делал ни разу, но тут все же надо делать роутинг, чтобы весь трафик по умолчанию уходил на сеть А а там уже его натить во вне. и все это завязать на маршрутах.
ну типа дефаулт гейт сделать на 75.225 а там поднять нат для сети 51

Либо поднять нат На сети А на ван интерфейсе для Ван сети Б и весь трафик из сети Б сделать маршрут по умолчанию на Ван А.

может чего и не так говорю.  но по любому нужны маршруты.

krotish

Сделать для 51 сети дефолтгей 192.168.75.225 не получится, они в разных подсетях.

Тут, видимо нужно как-то наттинг прописать, потому что проблем с доступом из 75й в 51ю и наоборот — нету. Нужен интернет из 75й в 51ю.

Принцип-то понятен.
Но вот что прописать в pfsense — я не знаю.

xtc

Попробуй сделать проще.
Подыми PPTP сервер на Сети А на ВАне. а на сети Б на Ване сделай подключение ППТР до Сервера сети А, тем самым по умолчанию весь трафик для внешнеего интернета пойдет по ВПН подключению с сети Б через сеть А.

krotish

с pptp или OpenVPN проблем нет.
но мне же нужен именно IPsec.

izuware

@krotish:

Добрый день!

Описываю ситуацию:
есть локалка A: 192.168.75.0/24
её основной шлюз — 192.168.75.225
локалка А имеет доступ в интернет. (WAN, белый IP)

есть локалка B: 192.168.51.0/24
её основной шлюз — 192.168.51.225
локалка B не имеет доступа в интернет, есть только доступ до локалки А. (WAN, серый IP 10.x.x.x)

На основных шлюзах локальных сетей установлен pfSense 2.0. Сети объединены при помощи туннеля IPsec.
Результат: из сети А пингуется сеть B и из сети B пингуется сеть А.

Итак, собственно сам вопрос:
Цель: В локалке B должен быть интернет. Получать она его должна из локалки A.
Вопрос, как прописать маршрутизацию в сетях и позволяет ли IPsec туннели реализовать заданное?

настройки IPSEC A
LocalSubnet 0.0.0.0/0
RemoteSubnet 192.168.51.0/24

настройки IPSEC B
LocalSubnet LanSubnet
RemoteSubnet 0.0.0.0/0

на маршрутизаторе A в NAT добавить 192.168.51.0/24

krotish

Спасибо огромное за отклик!

Однако, вопрос,

на маршрутизаторе A в NAT добавить 192.168.51.0/24

каким образом добавляется в NAT?

krotish

настройки IPSEC A
LocalSubnet 0.0.0.0/0
RemoteSubnet 192.168.51.0/24

настройки IPSEC B
LocalSubnet LanSubnet
RemoteSubnet 0.0.0.0/0

при такой конфигурации сети перестали видеть друг друга.

xtc

Получилось твой вариант сделать. но через веб морду у тебя это не выйдет все сделать. т.к. гейты он не даст установить те которые необходимо ввести. я для этого через шел конфигурил хмл файл

давай тебе сделаю маленький пример. имеем пустые по умолчанию настройки.

Офис А с выходом в инет.
Офис Б без выхода в инет.

Настраиваем ПФСЕНС офиса А.
1. Разрешим на ване А туда и обратно трафик для Вана Б
типа такого
Разрешить все на ВанИнтерфейсе для IP (ВанИфейс Б) на IP (ВанИфейс А)
и наоборот
Разрешить все на ВанИнтерфейсе IP (ВанИфейс А) на IP (ВанИфейс Б)

2. делаем gif

Interfaces: Assign network ports : Gif
Жмем добавить Гиф
Parent interface - WAN
gif remote address - IP ( WAN B )
gif tunnel local address - 1.1.1.1/30
gif tunnel remote address - 1.1.1.2/30
далее галок ни где не ставим.
можно сделать описание Гифа

Жмем сохранить.

3. создаем IPSec

а - добавляем ключ
заходим VPN: IPsec: Keys
жмем Pre-shared keys
Жмем добавить

Identifier -  IP ( WAN B )
Pre-shared key - (Ключ соединения)

б - добавляем сам IPSEC
Interface - WAN
RemGate - IP (Wan B)
Descr - IPSec
AuthMetod - PSK
Mode - Aggresive
My id - My IP
Peer id - Peer IP
PreShKey - (Ключ соединения)
Proposal Checking - default
Encryption algorithm - 3des
hash alg - sha1
DH key group - 2
lifetime - 28880
NAT Traversal - disable
dpd - галка
10
5

сохранить

в. добавляем что шифровать
VPN: IPsec: Edit Phase 2
mode - transport
proto -esp
encriptAlg - 3DES
Hashalg - SHA1 MD5
PFS  - 2
lifetime - 3600
ping host - 1.1.1.2

сохранить.

4. в Рулесах делаем правило для IPSEC разрешить всем все.
5. идем в роутинг и добавляем гате для офиса Б -

System: Gateways
Interface - LAN
name - Gate_for_IPSEC_B
GateWay - 1.1.1.2
Descr - Gate_for_IPSEC_B

Тут он тебе не даст сохранить. Поэтому для начало напишим любой IP из сети LAN A и жмем сохранить.

6. добавим сеть для маршрутизации офиса Б.
System: Static Routes
Destination network - Вся сеть Lan B (b.b.b.b/24)
Gateway - Тот что мы сделали в пункте 5.
описание - Gate_for_IPSEC_B
сохраняем.

Ну почти и все. осталось зайти через шел и исправить конфиг вручную
vi /conf/config.xml
найти запись типа где я звездочками указал на то место где будет тот IP что вы ввели любой из сети Лан А. его заменить на 1.1.1.2

<gateways><gateway_item><interface>lan</interface>
                       <gateway>********</gateway>
                       <name>Gate_for_IPSEC_B</name>
                       <weight>1</weight></gateway_item></gateways>

Ну вроди настройка ПФсенса А закончено, ребутим

Настраиваем ПФСенсе Б
Все точно также как и для А но с точностью наоборот зеркально.

Единственное Пункт 6 надо заменить на чтот отипа такого.
vi /conf/config.xml
сделать типа такого

<gateways><gateway_item><interface>lan</interface>
                       <gateway>1.1.1.1</gateway>
                       <name>Gate_for_IPSEC_A</name>
                       <weight>1</weight></gateway_item></gateways>

<staticroutes><route><network>0.0.0.0/0</network>
                       <gateway>Gate_for_IPSEC_A</gateway></route>

Далее если WAN A и WAN B лежат в разных сетях, то надо еще сделать маршрут для IP WAN B до IP WAN A чтобы ПФСЕНСы могли друг друга видеть даже если еще IPSec не поднялся. и это тоже надо сделать в конфиге чтобы после ребуто все работало

к примеру если у WAN B было чтото типа такого  
WAN B  
IP - x.x.x.y
GW - x.x.x.x
WAN A
IP - y.y.y.y

если через шел то route add y.y.y.y x.x.x.x
Далее надо сделать поумолчанию маршрут на 1.1.1.1 это означть будет что весь драфик заварачивать на ПФСЕНСЕ А внутри нашего шифрованного канала
route delete default
route add default 1.1.1.1

Я попробовал на виртуалках все уменя заработало.
Желаю Удачи.</staticroutes>