L2TP/IPSec настройка на pfsense
-
Здравствуйте
Перечитал форум. Как точно настроить не понял, но в одной из веток говорилось, что нужно настроить ipsec и потом l2tp и в ipsec создать логин для l2tp.
Может кто поточнее разъяснит?
Задача стоит - подключить удаленно людей к сетке фирмы. Думал про PPTP, но говорят там изъян в безопасности.
Подскажите по опыту. -
OpenVPN
-
Да с радостью, только вот задача - подключить компы клиентов удаленно.
Два офиса у меня соединены OpenVPN по типу TUN, скоро буду переделывать под TAP (Будет домен).
Как реализовать именно такое подключение -
Не надо огород городить. Какие проблемы людям установить OpenVPN и закинуть конфиг(-и) настроек?
-
Не хочу пользовать сторонний софт… нужно чтобы работало из коробки в окнах )))
Плюс у опенвпн скорость работы меньше из-за инкапсуляций с двух сторон. Понятно когда клиент один, а если их 20, 40 и более? Покупать под сенс комп с CPU Xeon?
Нужно понять как настраивается именно эта связка и точка.Нашел инфу что 2.1.х не могут так делать. Нужно 2.2. Обновляться пока не хочу.
Какие предложения, кроме OpenVPN для каждого клиента, для подключения удаленных пользователей к сети фирмы? -
Крайне интересует данный вопрос! Тестировал на версии 2.2 результат нулевой.
-
Попытался настроить по
https://doc.pfsense.org/index.php/L2TP/IPsec
Но неудачно :(. Может вам повезет. -
@Bansardo:
Не хочу пользовать сторонний софт… нужно чтобы работало из коробки в окнах )))
Плюс у опенвпн скорость работы меньше из-за инкапсуляций с двух сторон. Понятно когда клиент один, а если их 20, 40 и более? Покупать под сенс комп с CPU Xeon?
Нужно понять как настраивается именно эта связка и точка.Т.е вы считаете, что L2TP-туннель (протокол-перевозчик) + IPSec-туннель (протокол-перевозчик и он же протокол-пассажир для L2TP) и только тогда пользовательский трафик (протокол (-ы) -пассажир (-ы)) внутри этих двух туннелей - это меньше инкапсуляций, чем OpenVPN-туннель + данные пол-ля ?!
Еще раз. Не ищите себе приключений и лишних забот. Я уверен, что у ваших пол-лей намного больше ненужного стороннего ПО, чем OpenVPN.
-
Решил как буду делать. Возьму роутер, на него DD-WRT, и через него буду раздавать на ноут фирмы дома у сотрудника нашу сеть через OpenVPN.
Так уж случилось что 2 сотрудника из бухгалтерии будут работать дома (Отпуск по беременности). Осталось решить как сделать несколько OpenVPN сетей.
У нас уже есть одна конфигурация OpenVPN между офисами. Завтра гляну как создать отдельный канал для удаленных бухгалтеров.
Если есть соображения, подскажите как настроить несколько независимых точек подклчения к openvpn. Чтобы были разные каналы.
Роутер будет сделан для того, чтобы не лезли куда не попадя (мужья у сотрудников со слишком длинными руками и мыслью что они супер пользователи…) -
подскажите как настроить несколько независимых точек подклчения к openvpn. Чтобы были разные каналы
Просто создаете еще один remote-access OVPN-сервер на любом свободном порту. Количество серверов ограничивается свободными портами и свободными ресурсами системы.
Пригодится и дополнительный пакет - OpenVPN Client Export Utility - позволит создавать и скачивать готовый клиентский инсталлятор со всеми сертификатами и конфигами.
-
На сколько эта инструкция правильна?
http://www.mironovs.com/network/nastroyka-openvpn-na-pfsense.html
Если есть ссылки, киньте пжлст, почитаю как настраивать, -
Напрмер
http://blog.stefcho.eu/?p=492И это. Только сервер должен быть в режиме remote access
https://forum.pfsense.org/index.php?topic=58846.msg315720#msg315720также в pfSense есть встроенный Визард
OpenVPN: Server-Wizards. Ничего о нем не скажу - не пользовался. -
Настроил все, только вот теперь не видно сетки локальной, которая за PFsense находится… Подключение UP
Внутренняя сеть за pfsense 192.168.0.0/24, сеть тунеля 10.0.9.0/24 в итоге выдает компу вирт. адрес 10.0.9.6, DHCP сервер 10.0.9.5.
Путаюсь какие маршруты прописать...UPDATE: Все получилось, просто надо было запустить клиент от админа чтоб он роуты прописал.
На данный момент проблема заключается в том, что на роутере я могу пинговать сеть 192.168.0.0/24 которая находится за pfsense а на компе она не пингуется.... (((
Не знаю на что грешить фаер с натом или маршрутыUPDATE2
ЭТО БЫЛ NAT.Связка pfsense (server) + mikrotik (client) побеждена! Постараюсь в скором времени выкинуть инструкцию!
-
Эта связка давно работает.
Из ключевых особенностей для работы с микротиком - отключить TLS Authentication на сервере, только TCP, никакой компресии, имя и пароль в микротике - любые.
Для видимости сетей за другими микротиками\другими pfSense в OpenVPN: Client Specific Override для нужного микротик-клиента на сервере добавляю
push route "10.0.3.0 255.255.255.0 10.11.12.1"где - 10.0.3.0 - сеть за другим клиентом
10.11.12.1 - IP OVPN сервера ("дальний" конец туннеля)Без 10.11.12.1 микротик потребуется добавления route вручную на каждом микротике.
А инструкция, да еще и с картинками горячо приветствуется.
-
доброго времени суток. может можете помочь с настройкой пфсенса + микротик. настроил на микротике l2tp тунель в маскарадинг и все ходит до локалки пфсенса. а вот со стороны пф сенса пингует дальний конец тунеля 10.0.0.2 а сеть за мт 192.168.4.0 нет. пфсенсе пингуя пишет ттл закончился или если не выбирая интерфейсы показывает пакет перенаправлен с 127.0.0.1 на 10.0.0.1 и все. ни что никуда не уходит или не возвращается. на сервере за пфсенсом пингует так же дальний конец тунеля но на лан микротика нет. трэйс с сервера показывает что пакеты уходят с локалки на внешний порт пфсенса (ван интерфейс) а не в тунель. хотя на компе ручками добавил роут в тунель. если нужна детальная диаграма и цфг пишите. пфсенсе с белым ип а мт с динамическим.ипсек не запускал. оч много клиентов, что бы меньше грузило железо. задача из серва за пфсенсом отправить печать на сетевой принтер за микротиком
-
@olegas
Добрый вечер
Pfsense знает о сети за микротиком ?
Нужно создать статический маршрут на pf , что 168.4.0/24 находится за 10.10.0.2
1 создать шлюз
https://www.netgate.com/docs/pfsense/routing/gateway-settings.html
2 создать маршрут
https://www.netgate.com/docs/pfsense/routing/static-routes.html -
все выяснил спс. что маршрут нужен я сам знаю, только он не давал мне его сделать. писал такую фигню: pfsense the gateway is a different address family than network. оказалось в интерфейсе надо было вместо л2тп выставить статик ip v4 и там прописать еще раз адрес своего конца тунеля. в данном случае 10.0.0.1. типо один раз в конфиге л2тп его указать не хватает. бред полный. 2 дня на это угробил. :) вот после этого принял без ошибок роут. ОЧ ВАЖНО кто будет еще танцевать с бубном. роут не появился в роутинг таблице пока не зашел в него и не сделал выключить -> apply -> включить. для второго л2тп соединения пришлось на микротике выключить -> включить тунель. только после этого в роутах появилось правило и все заработало. такие танцы с бубном совсем не серьезно. правило должно было появиться после apply а не после включения выключения всего подряд.
