IPSec между филиалами, на одом из которых 2 прова&#
-
Что есть:
1. Прокси сервер TMG (нужен без него (скажем так у меня) не получиться публикация Exchange - мобильный доступ к почте, и FTP)
2. Pfsense_STV - 4 Ethenet порта (1-2 порт для двух провайдеров, 3 для TMG, 4 для локальной сети)
3. Два провайдера
4 Pfsense в филиалеЧто хочу получить:
1. Pfsense должен отдавать интернет от основного провайдера на прокси TMG без фильтрации и урезания каких либо портов
2. На резервном поднять IPSec
3. Переключаться на резерв, при пропадании интернета на основном
4. Поднятие IPSec на основном при пропадании резерва, не нужно (или стоит в саааааамом низком приоритете)Не смог поднять IPSec между TMG и pfsense
Поэтому поставил перед TMG pfsense, но пока только завел в pfsense - резервный интернет канал на нем поднял IPSec между филиалом и офисом, но пинг идет только с офиса (10.201.114.0) и то только на Pfsense (10.201.115.1) дальше него не идет. С филиала пинги вообще не идут, но P web pfsense_STV открывается.
 -
Прокси сервер TMG (нужен без него (скажем так у меня) не получиться публикация Exchange - мобильный доступ к почте, и FTP)
Проблема с пробросом портов?
TMG - лишний серъезный костыль. Очень постарайтесь обойтись без него . Иначе куча проблем обеспечена 146% :-\ -
Вот что с настройками, помогите пожалуйста!!
TMG работает уже больше 2 лет и никаких проблем с ним, но появился резервный провайдер и еще и филиал и начались проблемы.
На TMG куча правил…
 -
Правило fw на LAN,WAN, OPT1 оставьте одно (временно!) - разрешено всё всем и отовсюду и по любым протоколам.
После этого включаете логирование fw и смотрите что именно блокируется. -
Не получается вот, что пишет лог
 -
Правила NAT покажите.
P.s. У вас в логах fw есть запись с 500-ым портом. Это как раз к IPSEC относится - разрешите коннект.
-
Они у меня пустые(((
никаких правил я не делал, что там надо сделать?
В логах это не мой IP адрес пытается лезть по протоколу IPSec -
Переносите все правила из TMG на pf. После этого TMG выключаете и работаете по-людски.
-
Давайте так, если шлюзом по умолчанию стоит и там и там Pfsense и не работает локальная сеть между филиалами то стоящий сейчас в локальной сети TMG не может сильно влиять на сеть.
Подскажите нужно что-нибудь править в NAT чтобы пакеты забегали протоколы запрыгали)) -
В логах это не мой IP адрес пытается лезть по протоколу IPSec
Вообще-то это Ваши pfsense не могут связаться друг с другом.
Удалите все правила на WAN обоих pf. И создайте по одному на WAN вида :
IPv4 * * WAN address * * *
 -
Ошибка в логах IPSec
Mar 18 15:47:12 racoon: [Stavropol]: INFO: IPsec-SA established: ESP 109.168.159.170[500]->95.31.241.231[500] spi=55788634(0x353445a)
Mar 18 15:47:12 racoon: [Stavropol]: INFO: IPsec-SA established: ESP 109.168.159.170[500]->95.31.241.231[500] spi=84066066(0x502bf12)
Mar 18 16:00:42 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
Mar 18 16:00:52 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
Mar 18 16:01:02 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
Mar 18 16:01:12 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
Mar 18 16:01:22 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
Mar 18 16:01:32 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.У меня сейчас мозг сломается.
На обоих WAN я поставил правила, как вы сказали…
На виртуальном OPT1 надо правила исправить?Вот здесь нашел http://visualplanet.org/blog/?p=248
Не силен в английском, надо на обоих концах поставить main, если на другом исправляю на агрессивный подключение вообще не идет, а сдесь идет подключение, но с ошибками.
 -
Кажется я начинаю понимать, вот что в логах при попытке пинговать удаленную машину
В качестве DNS на машинах я писал 8.8.8.8. Но это же не должно мешать при попытке пинга, в этом случае я же пишу сразу IP а не dns имя этой машины почему он его не видит.
 -
На виртуальном OPT1 надо правила исправить?
Что за интерфейс ? Откуда он взялся?
-
Билайн поднят l2tp, а он делается через отдельное виртуальное соединение.
На скриншотах он есть. -
Попробуйте настроить работу IPSEC между pf используя только одного пров-ра. Если после этого трафик между ними забегает в обе стороны - потом со вторым разберемся.
P.s. Бред конечно, но https://forum.pfsense.org/index.php?topic=39656.0 :
In some places pptp, l2tp and ipsec is blocked via firewall rules, openvpn is quite hard to block, unless you block https also. Only my 2 cents
Не получится IPSEC - поднимайте OpenVPN.
-
Сейчас подключен только один провайдер Билайн через l2tp
Второй воткнут на прямую в TMG и пока эти два провайдера никак не связаны.
Это если я все таки доделаю VPN между филиалом и офисом то тогда буду думать об резервировании и всем остальном.
Билайн который сейчас воткнут в Pfsense вообще никак не используется только для того чтобы заработал vpnПоднял OpenVPN те же проблемы:
Пинг идет c офиса (10.201.114.0/24) на филиал, но только на прокси 10.201.115.1 на все остальное не идет
обратно пинг не идет вообще не на какую машину.Сервер в офисе (10.201.114.2) не является dhcp сервером не dns сервером, на все это есть AD сервер
Может это все таки настройки форварда внутри Pfsense?
 -
Директивы route\iroute применяли ?
-
Нет, не делал.
Добавил запись и стало пинговаться все компьютеры со стороны филиала(10.201.115.0.24), а со стороный офиса (10.201.114.0.24) пинги и доступ не идет.
И еще подскажите как сделать так чтобы все запросы не относящиеся к пулу адресов 10.201.115.0/24, т.е. все остальное он переадресовывал на другой IP.
знаю как это сделать в windows "route add -p 0.0.0.0 mask 0.0.0.0 10.201.114.5"
Но где это писать в Pfsense и как писать не знаю
 -
На первом скрине уберите записи в Advanced. Вы и так уже выше объявили маршруты и в локальную и в удаленную сети.
Далее, для того чтобы сеть за сервером "увидела" сеть за клиентом применяется директива iroute . Запись с ней вносится во вкладке Client-Specific Overrides: Advanced settings на Опенвпн-сервере :iroute 192.168.0.1 255.255.255.0 vpn_gateway;
Вместо 192.168.0.1 255.255.255.0 внесите свои данные
P.s. http://blog.stefcho.eu/?p=611
-
В OpenVPN в режиме сервера тунель поднимается только клиентом те в одностороннем порядке. IPSEC в этом плане более продвинут.
Для коректной маршрутизации используйте iroute с обеих сторон.
Еще рекомендую сделать адреса клиентов статическими, http://www.sergeysl.ru/freebsd-openvpn-client-static-ip/
