Нет доступа в интернет у пользователей
-
А если воткнуть внешнюю сетевушку вместо встроенного сетевого адаптера?
-
Пробовал. Обе сетевухи заменил. Эффекта нет
-
А вот ещё мысль - сделать загрузочный диск касперского и с него загрузиться.
Железо то же, заодно тщателнее проверите комп на вирусы и заодно и сеть проверите -
у диска касперского ip-шники по dhcp назначаются или вручную.
Если с диска интернет заработает, то, значит в операционке что-то не то, может её снести
начисто. -
Воу-воу… Проверить шлюз или что? Смысла проверять только что переставленую фряху я не вижу, а со сменой сенса на убунту гейт инет шустро бегает у всех.
Если дальше пользоваться сенсом, что мне очень хочется, то нужно понять, какого ражна он режет трафик. А я этого не понимаю... Толи дурак, толи опыта в работе с сенсом мало -
Т.е. на железке вместо pfSense поставили ubuntu и везде появился интерет, даже на проблемных компах?
Тогда просто нет мыслей.
У себя поставил, тридцать компов сенс обслуживает без проблем. -
Воу-воу… Проверить шлюз или что? Смысла проверять только что переставленую фряху я не вижу, а со сменой сенса на убунту гейт инет шустро бегает у всех.
Если дальше пользоваться сенсом, что мне очень хочется, то нужно понять, какого ражна он режет трафик. А я этого не понимаю... Толи дурак, толи опыта в работе с сенсом малоИмелось в виду загрузиться с диска касперского на проблемном компе.
-
@3vs:
Имелось в виду загрузиться с диска касперского на проблемном компе.
смогу попробовать только завтра, но более чем уверен, что результат будет тот же(
-
Как и говорил, шлюза с лайф сиди не увидел.
Так что продолжил поднимать всё на убунте.
ipsec решил реализовать через racoon. и Возникла проблема с настройкой конфига для подключения.Делал по этому ману - http://ubuntologia.ru/forum/viewtopic.php?f=93&t=1688
eth0 - внешний интерфейс 213.79.*.162
eht1 - внутренний интерфейс 192.168.1.2/etc/racoon/racoon.conf
log notify;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";listen {
isakmp 213.79..162[500];
isakmp_natt 213.79..162[4500];
strict_address;
}
remote 79.171.*.10 { # IP нашего пира
exchange_mode main; # режим обмена
my_identifier address;
peers_identifier address;
lifetime time 24 hour; # время жизни первой фазы
proposal { # секция определения предложений
encryption_algorithm aes 256; # алгоритм криптования
hash_algorithm md5; # алгоритм хеширования
authentication_method pre_shared_key; #метод аутентификации, у нас - шаренные ключи
dh_group modp1024; # группа Диффи-Хеллмана
}
generate_policy off;
nat_traversal on; # отключаем nat-traversal
}
sainfo address 192.168.1.0/24 any address 192.168.2.0/24 any { # IPSEC SA
pfs_group modp1024; # группа Диффи-Хеллмана
lifetime time 1 hour; # время жизни второй фазы
encryption_algorithm aes 256; # алгоритм криптования
authentication_algorithm hmac_md5; # алгоритм аутентификации
compression_algorithm deflate; # алгоритм компрессии
}remote 109.195.*.144 { # IP нашего пира
my_identifier address;
peers_identifier address;
exchange_mode main;
lifetime time 24 hour; # время жизни первой фазы
proposal { # секция определения предложений
encryption_algorithm aes 256; # алгоритм криптования
hash_algorithm md5; # алгоритм хеширования
authentication_method pre_shared_key; #метод аутентификации, у нас - шаренные ключи
dh_group modp1024; # группа Диффи-Хеллмана
}
generate_policy off;
nat_traversal on; # отключаем nat-traversal
}
sainfo address 192.168.1.0/24 any address 192.168.7.0/24 any { # IPSEC SA
pfs_group modp1024; # группа Диффи-Хеллмана
lifetime time 1 hour; # время жизни второй фазы
encryption_algorithm aes 256; # алгоритм криптования
authentication_algorithm hmac_md5; # алгоритм аутентификации
compression_algorithm deflate; # алгоритм компрессии
}/etc/ipsec-tools.conf
flush; #сбросить ассоциации безопасности (SAD)
spdflush; # сбросить политики безопасности (SPD)spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec
esp/tunnel/213.79..162-79.171..10/require; # добавление (SPD), исходящий трафикspdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec
esp/tunnel/79.171..10-213.79..162/require; # добавление (SPD), входящий трафикspdadd 192.168.1.0/24 192.168.7.0/24 any -P out ipsec
esp/tunnel/213.79..162-109.195..144/require; # добавление (SPD), исходящий трафикspdadd 192.168.7.0/24 192.168.1.0/24 any -P in ipsec
esp/tunnel/109.195..144-213.79..162/require; # добавление (SPD), входящий трафикПравила для iptables
iptables -A INPUT -i eth0 -s 79.171..10 -p udp –sport 500 --dport 500 -j ACCEPT
iptables -A INPUT -i eth0 -s 79.171..10 -p udp --sport 4500 --dport 4500 -j ACCEPT
iptables -A INPUT -s 79.171..10 -p esp -j ACCEPT
iptables -A INPUT -s 192.168.2.0/24 -d 192.168.1.2 -m policy --dir in --pol ipsec --proto esp --mode tunnel --tunnel-src 79.171..10 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -m policy --dir in --pol ipsec --proto esp --mode tunnel --tunnel-src 79.171..10 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -m policy --dir out --pol ipsec --proto esp --mode tunnel --tunnel-dst 79.171..10 -j ACCEPTiptables -A INPUT -i eth0 -s 109.195..144 -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A INPUT -i eth0 -s 109.195..144 -p udp --sport 4500 --dport 4500 -j ACCEPT
iptables -A INPUT -s 109.195..144 -p esp -j ACCEPT
iptables -A INPUT -s 192.168.7.0/24 -d 192.168.1.2 -m policy --dir in --pol ipsec --proto esp --mode tunnel --tunnel-src 109.195..144 -j ACCEPT
iptables -A FORWARD -s 192.168.7.0/24 -d 192.168.1.0/24 -m policy --dir in --pol ipsec --proto esp --mode tunnel --tunnel-src 109.195..144 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.7.0/24 -m policy --dir out --pol ipsec --proto esp --mode tunnel --tunnel-dst 109.195..144 -j ACCEPTsyslog
Jul 20 16:58:56 gate racoon: ERROR: phase1 negotiation failed due to time up. 5fc1652adcda1775:3a429d607f27eec3
Jul 20 16:59:34 gate kernel: [ 105.128053] device eth0 entered promiscuous mode
Jul 20 17:00:24 gate racoon: ERROR: phase1 negotiation failed due to time up. d33bc453fee06021:40613e8b464775f4
Jul 20 17:00:41 gate kernel: [ 171.859603] device eth0 left promiscuous mode
Jul 20 17:01:46 gate racoon: [79.171..10] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 79.171..10[0]->213.79..162[0]
Jul 20 17:01:46 gate racoon: [109.195..144] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 109.195..144[0]->213.79..162[0]
Jul 20 17:01:47 gate racoon: INFO: @(#)ipsec-tools 0.8.0 (http://ipsec-tools.sourceforge.net)
Jul 20 17:01:47 gate racoon: INFO: @(#)This product linked OpenSSL 1.0.1f 6 Jan 2014 (http://www.openssl.org/)
Jul 20 17:01:47 gate racoon: INFO: Reading configuration from "/etc/racoon/racoon.conf"
Jul 20 17:02:46 gate racoon: [79.171..10] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 79.171..10[0]->213.79..162[0]
Jul 20 17:02:46 gate racoon: [109.195..144] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 109.195..144[0]->213.79..162[0]
Jul 20 17:03:05 gate racoon: ERROR: phase1 negotiation failed due to time up. b8bd7b3615c17888:0000000000000000
Jul 20 17:03:05 gate racoon: ERROR: phase1 negotiation failed due to time up. ed74af394e9229d5:0000000000000000
Jul 20 17:03:27 gate kernel: [ 338.020048] device eth0 entered promiscuous mode
Jul 20 17:03:46 gate racoon: [79.171..10] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 79.171..10[0]->213.79..162[0]
Jul 20 17:03:46 gate racoon: [109.195..144] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 109.195..144[0]->213.79..162[0]
Jul 20 17:03:53 gate kernel: [ 363.622724] device eth0 left promiscuous mode
Jul 20 17:04:05 gate racoon: ERROR: phase1 negotiation failed due to time up. ed1512d4f081ad17:0000000000000000
Jul 20 17:04:05 gate racoon: ERROR: phase1 negotiation failed due to time up. bc66850913b8d8bd:0000000000000000
Jul 20 17:04:24 gate racoon: ERROR: phase1 negotiation failed due to time up. b55ee4ff08faf174:0b0b17b68a7fad47tcpdump -n -i eth0 port 500
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
17:30:34.381624 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident
17:30:34.381800 IP 213.79..162.500 > 109.195..144.500: isakmp: phase 1 R ident
17:30:34.403105 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident
17:30:34.405778 IP 213.79..162.500 > 109.195..144.500: isakmp: phase 1 R ident
17:30:34.425782 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident[E]
17:30:36.152020 IP 213.79..162.500 > 79.171..10.500: isakmp: phase 1 ? ident
17:30:36.156894 IP 79.171..10.500 > 213.79..162.500: isakmp: phase 1 ? ident[E]
17:30:36.157071 IP 79.171..10.500 > 213.79..162.500: isakmp: phase 1 ? ident[E]
17:30:44.414091 IP 213.79..162.500 > 109.195..144.500: isakmp: phase 1 R ident
17:30:44.431024 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident[E]
17:30:44.431374 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident[E]Настройки, одного из подключений, в сенсе были следующие
Как понимаю не проходит аутентификация. Как быть? вроде указал все настпройки
-
получилась странная ситуация…
remote 109.195..144 поднялся в обеих фазах, а remote 79.171..10 не проходит даже первую... причём между собой они имеют устойчивое соединение, а вот со мной только первый соединился... Настройки все уже перелопачены не раз, где может быть косяк даже не знаю...
Кстати 109.195..144 и 79.171..10 это два pfsens шлюза...Единственное, что 109.195.*.144 пишет в логи...
racoon: WARNING: PF_KEY EXPIRE message received from kernel for SA being negotiated. Stopping negotiation.У 79.171.*.10 всё по старому
racoon: ERROR: phase1 negotiation failed due to time up. 6b963bbcbf0458c4:36fce3f6321c097d -
Лог со стороны pfsens, к которому не выходит подключится
Jul 22 16:58:05 racoon: [CentOffise]: [213.79..162] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 213.79..162[0]->79.171..10[0]
Jul 22 16:58:05 racoon: INFO: delete phase 2 handler.
Jul 22 16:58:09 racoon: [CentOffise]: INFO: IPsec-SA request for 213.79.162 queued due to no phase1 found.
Jul 22 16:58:09 racoon: [CentOffise]: INFO: initiate new phase 1 negotiation: 79.171..10[500]<=>213.79..162[500]
Jul 22 16:58:09 racoon: INFO: begin Identity Protection mode.
Jul 22 16:58:09 racoon: INFO: received Vendor ID: RFC 3947
Jul 22 16:58:09 racoon: INFO: received Vendor ID: DPD
Jul 22 16:58:09 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Jul 22 16:58:09 racoon: [CentOffise]: [213.79..162] INFO: Selected NAT-T version: RFC 3947
Jul 22 16:58:09 racoon: [CentOffise]: [213.79..162] INFO: Hashing 213.79..162[500] with algo #1
Jul 22 16:58:09 racoon: [Self]: [79.171..10] INFO: Hashing 79.171..10[500] with algo #1
Jul 22 16:58:09 racoon: INFO: Adding remote and local NAT-D payloads.
Jul 22 16:58:09 racoon: [Self]: [79.171..10] INFO: Hashing 79.171..10[500] with algo #1
Jul 22 16:58:09 racoon: INFO: NAT-D payload #0 verified
Jul 22 16:58:09 racoon: [CentOffise]: [213.79..162] INFO: Hashing 213.79..162[500] with algo #1
Jul 22 16:58:09 racoon: INFO: NAT-D payload #1 verified
Jul 22 16:58:09 racoon: INFO: NAT not detected
Jul 22 16:58:13 racoon: NOTIFY: the packet is retransmitted by 213.79..162[500] (1).
Jul 22 16:58:29 racoon: NOTIFY: the packet is retransmitted by 213.79..162[500] (1).
Jul 22 16:58:40 racoon: [CentOffise]: [213.79..162] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 213.79..162[0]->79.171..10[0]
Jul 22 16:58:40 racoon: INFO: delete phase 2 handler.
Jul 22 16:58:49 racoon: NOTIFY: the packet is retransmitted by 213.79..162[500] (1).
Jul 22 16:58:51 racoon: [CentOffise]: [213.79..162] INFO: request for establishing IPsec-SA was queued due to no phase1 found.
Jul 22 16:58:59 racoon: ERROR: phase1 negotiation failed due to time up. 7dac4b78b10d5959:b872d62e36cb2b98 -
racoon: [CentOffise]: INFO: IPsec-SA request for 213.79*.162 queued due to no phase1 found.
Это по-моему говорит о проблеме в настройках Phase 1 -
dvserg Вроде верные.
со стороны ubuntu
/etc/racoon/racoon.conflog notify; # уровень логирования
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";padding {
maximum_length 20; # максимальная длинна набивки (?).
randomize off; # включение случайной длинны.
strict_check off; # включить строгую проверку.
exclusive_tail off; # извлекать один последний октет.
}listen {
isakmp 213.79..162[500]; # установка прослушивания даемона ip[port]
isakmp_natt 213.79..162[4500]; # установка прослушивания используя NAT-T
strict_address;
}timer{
counter 5;# maximum trying count to send.
interval 20 sec;# maximum interval to resend.
persend 1;# the number of packets per a send.
phase1 60 sec;
phase2 60 sec;
}
remote 79.171..10[500] { # IP нашего пира
my_identifier address 213.79..162;
peers_identifier address 79.171.*.10;
exchange_mode main, aggressive; # режим обмена
lifetime time 8 hour; # время жизни первой фазы
proposal { # секция определения предложений
encryption_algorithm aes256; # алгоритм криптования
hash_algorithm md5; # алгоритм хеширования
authentication_method pre_shared_key; #метод аутентификации
dh_group 2; # группа Диффи-Хеллмана
}
generate_policy on;
#nat_traversal (on | off | force); # пример использования nat-traversal
nat_traversal on; # отключаем nat-traversal
ike_frag on; # фрагментация ike, используется для NAT-T
#esp_frag 552; # фрагментация esp пакета, используется для NAT-T
initial_contact on;
dpd_delay 10;
dpd_retry 5;}
со стороны pfsense 79.171.*.10 в аттаче,
-
Решить проблему с подключение IPSec так и не смог.
Пошёл иным путём:
Создал GRE туннели на обоих шлюзах и прописал для них маршрутизацию.
Вопрос закрыт.