L2tp от дома к работе
-
Скрин правил fw на WAN покажите.
-
вот скрин,там же и по ipsec есть и он работет
-
Что делает первое правило?! Удаляйте. Где правило по 1701/TCP, 1701/UDP для L2TP ?
-
Что делает первое правило?! Удаляйте. Где правило по 1701/TCP, 1701/UDP для L2TP ?
Поддержу, только не первое - а первые 2 правила у тебя блокируют все подключения на WAN. Сделай на ван правило Сурс - *, дестанэйшн - * Port 1701.
-
первые два это же приватные и зарезервированные адреса,они у меня не отображаются на работоспособности интернета,я еще в мануалах вкуривал это,чтобы галочки стояли,ну щас убрал посмотрим что будет))а правила TCP и UDP сейчас попробую поставить,спасибо:)
-
первые два это же приватные и зарезервированные адреса,они у меня не отображаются на работоспособности интернета,я еще в мануалах вкуривал это,чтобы галочки стояли,ну щас убрал посмотрим что будет))а правила TCP и UDP сейчас попробую поставить,спасибо:)
вообще мы ставили l2tp с айписеком - работает не стабильно, поэтому перешли на Опен-Впн и горя не знаем
-
для опенвпн на виндовс машинах клиент какой используете?
-
для опенвпн на виндовс машинах клиент какой используете?
А какой ЕЩЕ клиент можно использовать?!
-
Зачем удалять первые два правила. С ними все в порядке. Нужно только добавить правило на wan как в скрине ниже. А первые два правила блокируют частные сети на внешнем интерфейсе, коих там быть не должно(тут есть исключения, если провайдер даёт серый ip. Если ip белый то все нормально, ничего эти правила не блокируют) и сети еще не выданные никому(Значит трафик с этих ip еще не может ни от кого идти, вот только не помню под какое правило попадает сети 127.0.0.0/8 и 169.254.0.0/16). Не путайте человека. Возможно еще потребуется добавить правила на l2tp интерфейсе, дабы через VPN можно было ходить в локалку.
-
для опенвпн на виндовс машинах клиент какой используете?
А какой ЕЩЕ клиент можно использовать?!
OpenVPN клиент :D
-
Зачем удалять первые два правила. С ними все в порядке. Нужно только добавить правило на wan как в скрине ниже. А первые два правила блокируют частные сети на внешнем интерфейсе, коих там быть не должно(тут есть исключения, если провайдер даёт серый ip. Если ip белый то все нормально, ничего эти правила не блокируют) и сети еще не выданные никому(Значит трафик с этих ip еще не может ни от кого идти, вот только не помню под какое правило попадает сети 127.0.0.0/8 и 169.254.0.0/16). Не путайте человека. Возможно еще потребуется добавить правила на l2tp интерфейсе, дабы через VPN можно было ходить в локалку.
спасибо сейчас попробую :)
-
Зачем удалять первые два правила. С ними все в порядке. Нужно только добавить правило на wan как в скрине ниже. А первые два правила блокируют частные сети на внешнем интерфейсе, коих там быть не должно(тут есть исключения, если провайдер даёт серый ip. Если ip белый то все нормально, ничего эти правила не блокируют) и сети еще не выданные никому(Значит трафик с этих ip еще не может ни от кого идти, вот только не помню под какое правило попадает сети 127.0.0.0/8 и 169.254.0.0/16). Не путайте человека. Возможно еще потребуется добавить правила на l2tp интерфейсе, дабы через VPN можно было ходить в локалку.
спасибо сейчас попробую :)
затем что в правиле стоящем наверху всех 1-й пункт БЛОК, дальше сурс - * это значит источник Internet,Port - WAN (Все что приходит из инета на ВАН). Destanation * не важно куда в ЛАН или в ВПН подсеть.
Если так сделано то нужно уж как минимум сначало пробросить нужные порты, а это 1701 в случае с ВПНом.
и да плюсую OpenVPN
-
затем что в правиле стоящем наверху всех 1-й пункт БЛОК, дальше сурс - * это значит источник Internet,Port - WAN (Все что приходит из инета на ВАН). Destanation * не важно куда в ЛАН или в ВПН подсеть.
Если так сделано то нужно уж как минимум сначало пробросить нужные порты, а это 1701 в случае с ВПНом.
и да плюсую OpenVPN
Я в общем и целом тоже плюсую OpenVPN. Но с правилами там все впорядке. Хоть убейте не увидел нигде, ни на одном скрине правило что вы описали. Раз пять пытался найти хоть на одном скрине запрещающее правило, где в поле сурс стоит *. В полях сурс только, как я и говорил, приватные сетки и не выданные еще. Дальше я бы добавил правило чтобы пингануть из вне шлюз(ну оно там и так есть) а далше разрешающие правила по нужным мне портам(Те правила для IPSec если требе, L2tp как я уже выкладывал скрин, правила для редиректа портов, если нужны). Ну надо же быть внимательным. И вообще для полноценной работы ставить полноценную FreeBSD. Как собсно я и сделал. А там уже извращатся можно как хочешь. Не подошел мне PfSense до конца. Вроде всё есть, но тот же IPSec заставить с Cisco работать не удалось.
-
Ох да, сорри, чего-то не туда глянул про сурс.
-
Не подошел мне PfSense до конца. Вроде всё есть, но тот же IPSec заставить с Cisco работать не удалось.
Ничего не имею против "голой" FreeBSD, но почему не получилось настроить cвязку CISCO<–ipsec--> pfsense?
Что за модель Cisco была, если не секрет?https://doc.pfsense.org/index.php/IPsec_between_pfSense_and_Cisco_IOS
https://doc.pfsense.org/index.php/IPsec_between_pfSense_and_a_Cisco_PIXhttp://www.networkstraining.com/site-to-site-ipsec-vpn-between-cisco-asa-and-pfsense/
-
Не подошел мне PfSense до конца. Вроде всё есть, но тот же IPSec заставить с Cisco работать не удалось.
Ничего не имею против "голой" FreeBSD, но почему не получилось настроить cвязку CISCO<–ipsec--> pfsense?
Что за модель Cisco была, если не секрет?https://doc.pfsense.org/index.php/IPsec_between_pfSense_and_Cisco_IOS
https://doc.pfsense.org/index.php/IPsec_between_pfSense_and_a_Cisco_PIXhttp://www.networkstraining.com/site-to-site-ipsec-vpn-between-cisco-asa-and-pfsense/
P.S. Настроили ipsec с партнёрами, 2 дня логи смотрели, но настроили туннель, у них циска, у нас сенс, только у нас инет приходит сначала (жуть) на д линк и перебрасывает порты на pfsense, да связка жёсткая, тем не менее туннель подняли и живёт :) Так что не всё так плохо с цисками и сенсами.
-
P.S. Настроили ipsec с партнёрами, 2 дня логи смотрели, но настроили туннель, у них циска, у нас сенс, только у нас инет приходит сначала (жуть) на д линк и перебрасывает порты на pfsense, да связка жёсткая, тем не менее туннель подняли и живёт :) Так что не всё так плохо с цисками и сенсами.
А зачем "костыль" с Д-Линком? Неужели нельзя его убрать, как лишнее звено?
-
P.S. Настроили ipsec с партнёрами, 2 дня логи смотрели, но настроили туннель, у них циска, у нас сенс, только у нас инет приходит сначала (жуть) на д линк и перебрасывает порты на pfsense, да связка жёсткая, тем не менее туннель подняли и живёт :) Так что не всё так плохо с цисками и сенсами.
А зачем "костыль" с Д-Линком? Неужели нельзя его убрать, как лишнее звено?
Технически он там не нужен, просто местные особенности.
wan кабель там, директор сервер за спиной не одобрит, перетянуть кабель проблематично. т.к. сделан ремонт, а директор к этому щепетильно относится.Вариант только раздвоить "магистральный" кабель между нужными комнатами и пустить по 4 жилам интернет к серверу, по другим жилам будет лан.
P.S. Ремонт они сделали без меня и я не успел переделать вовремя.
-
Вариант только раздвоить "магистральный" кабель между нужными комнатами и пустить по 4 жилам интернет к серверу, по другим жилам будет лан.
Откройте для себя Powerline-адаптеры - http://hotline.ua/network/powerline-adaptery/
Если "висите" на одной фазе - нет проблем.
-
Щас уже нет возможности поглядеть точнее, но тем не менее Cisco 2800 IOS 15(Вот не уверен там Цисок было 3 шт и вполне возможно был 12 на той которую я мучал). Хотя я вообще не большой спец по цискам(второй раз в жизни с ними ковырялся). Так вот судя по логам фазу 1 проходил, фазу 2 нет. Везде был выставлены одинаковый параметры(dh groupe2, aes 128, sha1, mode Transport). Я этот crypto map вешал и на wan циски, и на gre, и толку ноль. Делал сначала по инструкции с тутошней wiki, но мне нужно было шифровать gre(там требования были такие), а не использовать чистый ipsec . Пытался шифровать просто весь трафик между точками, но тоже не взлетело. В итоге чистый BSD + инструкция с lissyar'ы. Выложите плиз конфиг циски, уже даже интересно как это можно было заставить работать.
PS Надо было еще туннели с Циски и Pfsense делать до маршрутизатора на IPCop и вот там они взлетели нормально.
Те pfsense<->IPCop и Циско<->IPCop, а поднять между Циско<->pfsense так и не получилось, хотя он был основной, другие нужны были только для администрирования.
