IPSec между филиалами, на одом из которых 2 прова&#

Fat32

Ошибка в логах IPSec
Mar 18 15:47:12 racoon: [Stavropol]: INFO: IPsec-SA established: ESP 109.168.159.170[500]->95.31.241.231[500] spi=55788634(0x353445a)
Mar 18 15:47:12 racoon: [Stavropol]: INFO: IPsec-SA established: ESP 109.168.159.170[500]->95.31.241.231[500] spi=84066066(0x502bf12)
Mar 18 16:00:42 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
Mar 18 16:00:52 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
Mar 18 16:01:02 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
Mar 18 16:01:12 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
Mar 18 16:01:22 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
Mar 18 16:01:32 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.

У меня сейчас мозг сломается.
На обоих WAN я поставил правила, как вы сказали…
На виртуальном OPT1 надо правила исправить?

Вот здесь нашел http://visualplanet.org/blog/?p=248
Не силен в английском, надо на обоих концах поставить main, если на другом исправляю на агрессивный подключение вообще не идет, а сдесь идет подключение, но с ошибками.


Fat32

Кажется я начинаю понимать, вот что в логах при попытке пинговать удаленную машину
В качестве DNS на машинах я писал 8.8.8.8. Но это же не должно мешать при попытке пинга, в этом случае я же пишу сразу IP а не dns имя этой машины почему он его не видит.


werter

На виртуальном OPT1 надо правила исправить?

Что за интерфейс ? Откуда он взялся?

Fat32

Билайн поднят l2tp, а он делается через отдельное виртуальное соединение.
На скриншотах он есть.

werter

Попробуйте настроить работу IPSEC между pf используя только одного пров-ра.  Если после этого трафик между ними забегает в обе стороны - потом со вторым разберемся.

P.s. Бред конечно, но https://forum.pfsense.org/index.php?topic=39656.0 :

In some places pptp, l2tp and ipsec is blocked via firewall rules, openvpn is quite hard to block, unless you block https also. Only my 2 cents

Не получится IPSEC - поднимайте OpenVPN.

Fat32

Сейчас подключен только один провайдер Билайн через l2tp
Второй воткнут на прямую в TMG и пока эти два провайдера никак не связаны.
Это если я все таки доделаю VPN между филиалом и офисом то тогда буду думать об резервировании и всем остальном.
Билайн который сейчас воткнут в Pfsense вообще никак не используется только для того чтобы заработал vpn

Поднял OpenVPN те же проблемы:
Пинг идет c офиса (10.201.114.0/24) на филиал, но только на прокси 10.201.115.1 на все остальное не идет
обратно пинг не идет вообще не на какую машину.

Сервер в офисе (10.201.114.2) не является dhcp сервером не dns сервером, на все это есть AD сервер
Может это все таки настройки форварда внутри Pfsense?


werter

Директивы route\iroute применяли ?

Fat32

Нет, не делал.
Добавил запись и стало пинговаться все компьютеры со стороны филиала(10.201.115.0.24), а со стороный офиса (10.201.114.0.24) пинги и доступ не идет.
И еще подскажите как сделать так чтобы все запросы не относящиеся к пулу адресов 10.201.115.0/24, т.е. все остальное он переадресовывал на другой IP.
знаю как это сделать в windows "route add -p 0.0.0.0 mask 0.0.0.0 10.201.114.5"
Но где это писать в Pfsense и как писать не знаю


werter

На первом скрине уберите записи в Advanced. Вы и так уже выше объявили маршруты и в локальную и в удаленную сети.
Далее, для того чтобы сеть за сервером "увидела" сеть за клиентом применяется директива iroute . Запись с ней вносится во вкладке Client-Specific Overrides: Advanced settings на Опенвпн-сервере :

iroute 192.168.0.1 255.255.255.0 vpn_gateway;

Вместо 192.168.0.1 255.255.255.0 внесите свои данные

P.s. http://blog.stefcho.eu/?p=611

SysR

В OpenVPN в режиме сервера тунель поднимается только клиентом те в одностороннем порядке. IPSEC в этом плане более продвинут.

Для коректной маршрутизации используйте iroute с обеих сторон.

Еще рекомендую сделать адреса клиентов статическими, http://www.sergeysl.ru/freebsd-openvpn-client-static-ip/

werter

@SysR:

В OpenVPN в режиме сервера тунель поднимается только клиентом те в одностороннем порядке.

Так никто и не спорит.

IPSEC в этом плане более продвинут.

С чего бы это? IPSEC работает только на сетевом уровне OSI, OpenVPN же может на 2-ух.

Для коректной маршрутизации используйте iroute с обеих сторон.

Первый раз такое слышу. Директива iroute - это серверная директива.

Fat32

@werter:

На первом скрине уберите записи в Advanced. Вы и так уже выше объявили маршруты и в локальную и в удаленную сети.

Если убираю эту запись доступ к клиента за сервер пропадает.
Так же странно, могу пинговать сеть за сервером, но dns адреса не проходят.
Адреса содержаться на AD контролере (DNS-сервер), который стоит в сети за сервером OpenVPN. Он пингуется и даже nslookup дает ответ на вопросы по сетевым адресам. Но когда пытаешься получить пинг на адрес, пишет не найдено.

По dns адресам он обращается в адресу 10.201.114.10
Это основной dns, но в таблице маршрутизации он почемуто идет отдельной графой и на какой то левый шлюз, как его убрать оттуда?

ipconfig /all с машины:
Настройка протокола IP для Windows

Имя компьютера  . . . . . . . . . : WKS-PTG-05
  Основной DNS-суффикс  . . . . . . : vist-media.local
  Тип узла. . . . . . . . . . . . . : Гибридный
  IP-маршрутизация включена . . . . : Нет
  WINS-прокси включен . . . . . . . : Нет
  Порядок просмотра суффиксов DNS . : vist-media.local

Ethernet adapter Local Area Connection:

DNS-суффикс подключения . . . . . :
  Описание. . . . . . . . . . . . . : Realtek PCIe FE Family Controller
  Физический адрес. . . . . . . . . : 00-00-00-00-F0-00
  DHCP включен. . . . . . . . . . . : Нет
  Автонастройка включена. . . . . . : Да
  IPv4-адрес. . . . . . . . . . . . : 10.201.115.11(Основной)
  Маска подсети . . . . . . . . . . : 255.255.255.0
  Основной шлюз. . . . . . . . . : 10.201.115.1
  DNS-серверы. . . . . . . . . . . : 10.201.114.11
                                      10.201.114.10
                                      10.201.115.1
  NetBios через TCP/IP. . . . . . . . : Включен


SysR

Попробуйте сделать следующее:
Уберите все дополнительные настройки и укажите маршруты вручную через консоль или System -> Routing.
На роутерах укажите маршрутизацию сетей к филиалам:
На сервере route add 10.201.115.0/24 10.201.8.2 внетрений адрес клиента опенвпн
На клиенте route add 10.201.114.0/24 10.201.8.1 внутрений адрес сервера опенвпн

werter

@SysR:

Попробуйте сделать следующее:

На сервере route add 10.201.115.0/24 10.201.8.2 внетрений адрес клиента опенвпн
На клиенте route add 10.201.114.0/24 10.201.8.1 внутрений адрес сервера опенвпн

Ни в коем случае. Маршрутизацией должны заниматься его pfsense на обоих концах, а не вручную рисоваться.

2 ТС

Покажите скриншот Certificates на сервере. У Вас все машины в обеих сетях имеют шлюзами pfsense?

SysR

Ни в коем случае. Маршрутизацией должны заниматься его pfsense на обоих концах, а не вручную рисоваться.

Я про ПФсенсы и пишу.
На время отладки можно и в ручную нарисовать, но Вы можете дальше пробовать попадать пальцем в небо, дело ваше.
Скажу только что я 2 года назад отказался от использования ОпенВПН в пользу ИПСЕК и ни разу не пожалел, удачи.

werter

2 SysR
Настроил далеко не одну связку на OpenVPN - работают не первый год и проблем нет. OpenVPN - самое гибкое из VPN решений.
"Вы не любите, кошек? Вы просто не умеете их готовить" (с) не моё.

2 Fat32
Смотрите ЛС.

aleksvolgin

Скажу только что я 2 года назад отказался от использования ОпенВПН в пользу ИПСЕК и не разу не пожалел, удачи.

Истину глаголите. ^_^

smils

+++1

Fat32

Все так же и осталось, все со всех сторон пингуется на IP адреса на DNS адреса со стороны филиала не идут. Решил вопрос пропсам нужные dns адреса в Pfsense. Всем большое спасибо.