Нет доступа в интернет у пользователей

3vs

Даже страшно как-то! :)

Т.е. на проблемных компьютерах пинги проходят на соседние компы, сервер, а на шлюз - pfSense не проходят?
А свичи у вас управляемые, может их перезагрузить?
А не пробовали на проблемных компьютерах прописать ip-шники тех компьютеров, которые работают
с pfSense?

Troll

Именно так - пингуется вся подсеть, кроме шлюза (на котором сенс).
Свичи тупые длинки, я их даже заменять пробовал на точно рабочие))
Ипшники рабочих машин пробовал присваивать - бестолку)

Вопрос конечно не по адресу, но может кто подсказать, как ipsec в ubuntu поднять?
Собсно нужно два подключения сеть-сеть сделать…
Как понимаю, создаётся ещё два интерфейса в нетворкс и.... и дальше я хз(

3vs

А если воткнуть внешнюю сетевушку вместо встроенного сетевого адаптера?

Troll

Пробовал. Обе сетевухи заменил. Эффекта нет

3vs

А вот ещё мысль - сделать загрузочный диск касперского и с него загрузиться.
Железо то же, заодно тщателнее проверите комп на вирусы и заодно и сеть проверите -
у диска касперского ip-шники по dhcp назначаются или вручную.
Если с диска интернет заработает, то, значит в операционке что-то не то, может её снести
начисто.

Troll

Воу-воу… Проверить шлюз или что? Смысла проверять только что переставленую фряху я не вижу, а со сменой сенса на убунту гейт инет шустро бегает у всех.
Если дальше пользоваться сенсом, что мне очень хочется, то нужно понять, какого ражна он режет трафик. А я этого не понимаю... Толи дурак, толи опыта в работе с сенсом мало

3vs

Т.е. на железке вместо pfSense поставили ubuntu и везде появился интерет, даже на проблемных компах?
Тогда просто нет мыслей.
У себя поставил, тридцать компов сенс обслуживает без проблем.

3vs

@Troll:

Воу-воу… Проверить шлюз или что? Смысла проверять только что переставленую фряху я не вижу, а со сменой сенса на убунту гейт инет шустро бегает у всех.
Если дальше пользоваться сенсом, что мне очень хочется, то нужно понять, какого ражна он режет трафик. А я этого не понимаю... Толи дурак, толи опыта в работе с сенсом мало

Имелось в виду загрузиться с диска касперского на проблемном компе.

Troll

@3vs:

Имелось в виду загрузиться с диска касперского на проблемном компе.

смогу попробовать только завтра, но более чем уверен, что результат будет тот же(

Troll

Как и говорил, шлюза с лайф сиди не увидел.
Так что продолжил поднимать всё на убунте.
ipsec решил реализовать через racoon. и Возникла проблема с настройкой конфига для подключения.

Делал по этому ману - http://ubuntologia.ru/forum/viewtopic.php?f=93&t=1688

eth0 - внешний интерфейс 213.79.*.162
eht1 - внутренний интерфейс 192.168.1.2

/etc/racoon/racoon.conf

log notify;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
isakmp 213.79..162[500];
isakmp_natt 213.79..162[4500];
strict_address;
}
remote 79.171.*.10 { # IP нашего пира
exchange_mode main; # режим обмена
my_identifier address;
peers_identifier address;
lifetime time 24 hour; # время жизни первой фазы
proposal { # секция определения предложений
encryption_algorithm aes 256; # алгоритм криптования
hash_algorithm md5; # алгоритм хеширования
authentication_method pre_shared_key; #метод аутентификации, у нас - шаренные ключи
dh_group modp1024; # группа Диффи-Хеллмана
}
generate_policy off;
nat_traversal on; # отключаем nat-traversal
}
sainfo address 192.168.1.0/24 any address 192.168.2.0/24 any { # IPSEC SA
pfs_group modp1024; # группа Диффи-Хеллмана
lifetime time 1 hour; # время жизни второй фазы
encryption_algorithm aes 256; # алгоритм криптования
authentication_algorithm hmac_md5; # алгоритм аутентификации
compression_algorithm deflate; # алгоритм компрессии
}

remote 109.195.*.144 { # IP нашего пира
my_identifier address;
peers_identifier address;
exchange_mode main;
lifetime time 24 hour; # время жизни первой фазы
proposal { # секция определения предложений
encryption_algorithm aes 256; # алгоритм криптования
hash_algorithm md5; # алгоритм хеширования
authentication_method pre_shared_key; #метод аутентификации, у нас - шаренные ключи
dh_group modp1024; # группа Диффи-Хеллмана
}
generate_policy off;
nat_traversal on; # отключаем nat-traversal
}
sainfo address 192.168.1.0/24 any address 192.168.7.0/24 any { # IPSEC SA
pfs_group modp1024; # группа Диффи-Хеллмана
lifetime time 1 hour; # время жизни второй фазы
encryption_algorithm aes 256; # алгоритм криптования
authentication_algorithm hmac_md5; # алгоритм аутентификации
compression_algorithm deflate; # алгоритм компрессии
}

/etc/ipsec-tools.conf

flush; #сбросить ассоциации безопасности (SAD)
spdflush; # сбросить политики безопасности (SPD)

spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec
esp/tunnel/213.79..162-79.171..10/require; # добавление (SPD), исходящий трафик

spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec
esp/tunnel/79.171..10-213.79..162/require; # добавление (SPD), входящий трафик

spdadd 192.168.1.0/24 192.168.7.0/24 any -P out ipsec
esp/tunnel/213.79..162-109.195..144/require; # добавление (SPD), исходящий трафик

spdadd 192.168.7.0/24 192.168.1.0/24 any -P in ipsec
esp/tunnel/109.195..144-213.79..162/require; # добавление (SPD), входящий трафик

Правила для iptables

iptables -A INPUT -i eth0 -s 79.171..10 -p udp –sport 500 --dport 500 -j ACCEPT
iptables -A INPUT -i eth0 -s 79.171..10 -p udp --sport 4500 --dport 4500 -j ACCEPT
iptables -A INPUT -s 79.171..10 -p esp -j ACCEPT
iptables -A INPUT -s 192.168.2.0/24 -d 192.168.1.2 -m policy --dir in --pol ipsec --proto esp --mode tunnel --tunnel-src 79.171..10 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -m policy --dir in --pol ipsec --proto esp --mode tunnel --tunnel-src 79.171..10 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -m policy --dir out --pol ipsec --proto esp --mode tunnel --tunnel-dst 79.171..10 -j ACCEPT

iptables -A INPUT -i eth0 -s 109.195..144 -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A INPUT -i eth0 -s 109.195..144 -p udp --sport 4500 --dport 4500 -j ACCEPT
iptables -A INPUT -s 109.195..144 -p esp -j ACCEPT
iptables -A INPUT -s 192.168.7.0/24 -d 192.168.1.2 -m policy --dir in --pol ipsec --proto esp --mode tunnel --tunnel-src 109.195..144 -j ACCEPT
iptables -A FORWARD -s 192.168.7.0/24 -d 192.168.1.0/24 -m policy --dir in --pol ipsec --proto esp --mode tunnel --tunnel-src 109.195..144 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.7.0/24 -m policy --dir out --pol ipsec --proto esp --mode tunnel --tunnel-dst 109.195..144 -j ACCEPT

syslog

Jul 20 16:58:56 gate racoon: ERROR: phase1 negotiation failed due to time up. 5fc1652adcda1775:3a429d607f27eec3
Jul 20 16:59:34 gate kernel: [ 105.128053] device eth0 entered promiscuous mode
Jul 20 17:00:24 gate racoon: ERROR: phase1 negotiation failed due to time up. d33bc453fee06021:40613e8b464775f4
Jul 20 17:00:41 gate kernel: [ 171.859603] device eth0 left promiscuous mode
Jul 20 17:01:46 gate racoon: [79.171..10] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 79.171..10[0]->213.79..162[0]
Jul 20 17:01:46 gate racoon: [109.195..144] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 109.195..144[0]->213.79..162[0]
Jul 20 17:01:47 gate racoon: INFO: @(#)ipsec-tools 0.8.0 (http://ipsec-tools.sourceforge.net)
Jul 20 17:01:47 gate racoon: INFO: @(#)This product linked OpenSSL 1.0.1f 6 Jan 2014 (http://www.openssl.org/)
Jul 20 17:01:47 gate racoon: INFO: Reading configuration from "/etc/racoon/racoon.conf"
Jul 20 17:02:46 gate racoon: [79.171..10] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 79.171..10[0]->213.79..162[0]
Jul 20 17:02:46 gate racoon: [109.195..144] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 109.195..144[0]->213.79..162[0]
Jul 20 17:03:05 gate racoon: ERROR: phase1 negotiation failed due to time up. b8bd7b3615c17888:0000000000000000
Jul 20 17:03:05 gate racoon: ERROR: phase1 negotiation failed due to time up. ed74af394e9229d5:0000000000000000
Jul 20 17:03:27 gate kernel: [ 338.020048] device eth0 entered promiscuous mode
Jul 20 17:03:46 gate racoon: [79.171..10] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 79.171..10[0]->213.79..162[0]
Jul 20 17:03:46 gate racoon: [109.195..144] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 109.195..144[0]->213.79..162[0]
Jul 20 17:03:53 gate kernel: [ 363.622724] device eth0 left promiscuous mode
Jul 20 17:04:05 gate racoon: ERROR: phase1 negotiation failed due to time up. ed1512d4f081ad17:0000000000000000
Jul 20 17:04:05 gate racoon: ERROR: phase1 negotiation failed due to time up. bc66850913b8d8bd:0000000000000000
Jul 20 17:04:24 gate racoon: ERROR: phase1 negotiation failed due to time up. b55ee4ff08faf174:0b0b17b68a7fad47

tcpdump -n -i eth0 port 500

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
17:30:34.381624 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident
17:30:34.381800 IP 213.79..162.500 > 109.195..144.500: isakmp: phase 1 R ident
17:30:34.403105 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident
17:30:34.405778 IP 213.79..162.500 > 109.195..144.500: isakmp: phase 1 R ident
17:30:34.425782 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident[E]
17:30:36.152020 IP 213.79..162.500 > 79.171..10.500: isakmp: phase 1 ? ident
17:30:36.156894 IP 79.171..10.500 > 213.79..162.500: isakmp: phase 1 ? ident[E]
17:30:36.157071 IP 79.171..10.500 > 213.79..162.500: isakmp: phase 1 ? ident[E]
17:30:44.414091 IP 213.79..162.500 > 109.195..144.500: isakmp: phase 1 R ident
17:30:44.431024 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident[E]
17:30:44.431374 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident[E]

Настройки, одного из подключений, в сенсе были следующие

Как понимаю не проходит аутентификация. Как быть? вроде указал все настпройки

Troll

получилась странная ситуация…
remote 109.195..144 поднялся в обеих фазах, а remote 79.171..10 не проходит даже первую... причём между собой они имеют устойчивое соединение, а вот со мной только первый соединился... Настройки все уже перелопачены не раз, где может быть косяк даже не знаю...
Кстати 109.195..144 и 79.171..10 это два pfsens шлюза...

Единственное, что 109.195.*.144 пишет в логи...
racoon: WARNING: PF_KEY EXPIRE message received from kernel for SA being negotiated. Stopping negotiation.

У 79.171.*.10 всё по старому
racoon: ERROR: phase1 negotiation failed due to time up. 6b963bbcbf0458c4:36fce3f6321c097d

Troll

Лог со стороны pfsens, к которому не выходит подключится

Jul 22 16:58:05 racoon: [CentOffise]: [213.79..162] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 213.79..162[0]->79.171..10[0]
Jul 22 16:58:05 racoon: INFO: delete phase 2 handler.
Jul 22 16:58:09 racoon: [CentOffise]: INFO: IPsec-SA request for 213.79.162 queued due to no phase1 found.
Jul 22 16:58:09 racoon: [CentOffise]: INFO: initiate new phase 1 negotiation: 79.171..10[500]<=>213.79..162[500]
Jul 22 16:58:09 racoon: INFO: begin Identity Protection mode.
Jul 22 16:58:09 racoon: INFO: received Vendor ID: RFC 3947
Jul 22 16:58:09 racoon: INFO: received Vendor ID: DPD
Jul 22 16:58:09 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Jul 22 16:58:09 racoon: [CentOffise]: [213.79..162] INFO: Selected NAT-T version: RFC 3947
Jul 22 16:58:09 racoon: [CentOffise]: [213.79..162] INFO: Hashing 213.79..162[500] with algo #1
Jul 22 16:58:09 racoon: [Self]: [79.171..10] INFO: Hashing 79.171..10[500] with algo #1
Jul 22 16:58:09 racoon: INFO: Adding remote and local NAT-D payloads.
Jul 22 16:58:09 racoon: [Self]: [79.171..10] INFO: Hashing 79.171..10[500] with algo #1
Jul 22 16:58:09 racoon: INFO: NAT-D payload #0 verified
Jul 22 16:58:09 racoon: [CentOffise]: [213.79..162] INFO: Hashing 213.79..162[500] with algo #1
Jul 22 16:58:09 racoon: INFO: NAT-D payload #1 verified
Jul 22 16:58:09 racoon: INFO: NAT not detected
Jul 22 16:58:13 racoon: NOTIFY: the packet is retransmitted by 213.79..162[500] (1).
Jul 22 16:58:29 racoon: NOTIFY: the packet is retransmitted by 213.79..162[500] (1).
Jul 22 16:58:40 racoon: [CentOffise]: [213.79..162] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 213.79..162[0]->79.171..10[0]
Jul 22 16:58:40 racoon: INFO: delete phase 2 handler.
Jul 22 16:58:49 racoon: NOTIFY: the packet is retransmitted by 213.79..162[500] (1).
Jul 22 16:58:51 racoon: [CentOffise]: [213.79..162] INFO: request for establishing IPsec-SA was queued due to no phase1 found.
Jul 22 16:58:59 racoon: ERROR: phase1 negotiation failed due to time up. 7dac4b78b10d5959:b872d62e36cb2b98

dvserg

racoon: [CentOffise]: INFO: IPsec-SA request for 213.79*.162 queued due to no phase1 found.
Это по-моему говорит о проблеме в настройках Phase 1

Troll

dvserg Вроде верные.

со стороны ubuntu
/etc/racoon/racoon.conf

log notify; # уровень логирования
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

padding {
maximum_length 20; # максимальная длинна набивки (?).
randomize off; # включение случайной длинны.
strict_check off; # включить строгую проверку.
exclusive_tail off; # извлекать один последний октет.
}

listen {
isakmp 213.79..162[500]; # установка прослушивания даемона ip[port]
isakmp_natt 213.79..162[4500]; # установка прослушивания используя NAT-T
strict_address;
}

timer{
counter 5;# maximum trying count to send.
interval 20 sec;# maximum interval to resend.
persend 1;# the number of packets per a send.
phase1 60 sec;
phase2 60 sec;
}
remote 79.171..10[500] { # IP нашего пира
my_identifier address 213.79..162;
peers_identifier address 79.171.*.10;
exchange_mode main, aggressive; # режим обмена
lifetime time 8 hour; # время жизни первой фазы
proposal { # секция определения предложений
encryption_algorithm aes256; # алгоритм криптования
hash_algorithm md5; # алгоритм хеширования
authentication_method pre_shared_key; #метод аутентификации
dh_group 2; # группа Диффи-Хеллмана
}
generate_policy on;
#nat_traversal (on | off | force); # пример использования nat-traversal
nat_traversal on; # отключаем nat-traversal
ike_frag on; # фрагментация ike, используется для NAT-T
#esp_frag 552; # фрагментация esp пакета, используется для NAT-T
initial_contact on;
dpd_delay 10;
dpd_retry 5;

}

со стороны pfsense 79.171.*.10 в аттаче,

pfsense.jpg_thumb

Troll

Решить проблему с подключение IPSec так и не смог.
Пошёл иным путём:
Создал GRE туннели на обоих шлюзах и прописал для них маршрутизацию.
Вопрос закрыт.