Странная фильтрация через IPSec
-
Всем привет.
Есть два офиса, в каждом из которых стоит pfSense в качестве интернет-шлюза. В головном офисе - версия 2.1, а во втором - 2.2. Поднят IPSec, созданы разрешающие всё правила при трафике от одной к другой сети и обратно на каждом из шлюзов. Всё, казалось бы, Ок… Но было замечено, что из одного офиса не получается зайти по http на ресурсы в другом офисе. На ресурсы в той же сети - без проблем! Такое ощущение, что через туннель не ходит http-траффик. В логах firewall ничего похожего на отказ в прохождении траффика из этих сетей не нашел...
Есть идеи, в чем может быть проблема? -
Привет.
Что в кач-ве шлюза на машине где крутится web-сервис ?
И точно в логах fw на обоих концах ничего нет? -
Проверил на одном из девайсов - это МФУ-шка от НР. Стоит во втором офисе, IP пока что задан "ручками" (в дальнейшем раздам через резервации в DHCP), шлюзом по умолчанию - pfSense того офиса. Зайти на МФУ через браузер можно только из второго офиса. При вводе адреса в браузере на любой машине первого офиса:
ОШИБКА
Запрошенный URL не может быть доставлен.Во время доставки URL: http://172.18.2.2/
Произошла следующая ошибка:
Не удалось установить соединение.
Был получен ответ:
(60) Operation timed out
Удалённый сервер либо сеть не отвечают. Пожалуйста, повторите запрос.
Generated Tue, 29 Sep 2015 17:36:32 GMT by localhost (squid/2.7.STABLE9)
-
А чего ж Вы про сквид молчите-то? Добавьте всю удаленную подсеть в исключения на сквиде в dest, чтобы напрямую ходили.
Что шлюзом в настройках МФУ? Проверьте внимательно.
Покажите скрины правил fw на Ipsec\LAN обоих пф.
-
Сорри!
Про сквид не подумал… Недавно поставили. Хорошо, что я эту надпись заметил и полностью привел сообщение о тайм-ауте из браузера! :)
Поставил галку "Bypass proxy for Private Address Space (RFC 1918) destination" в Services - Proxy Server и все заработало как надо!
Спасибо!!! -
Не все….
Остался непобежденным Asterisk. Точнее - регистрация телефона. Не смотря на наличие галки из предыдущего поста и явного указания сетей 192.168.0.0/24 (Офис1) и 172.18.0.0/16 (Офис2) в качестве Bypass proxy for these source IPs и Bypass proxy for these destination IPs, я не могу зарегистрировать аппарат из сети в Офисе1 на Asterisk-е, находящемся в сети Офиса2.
Прилагаю скрин правил Fierwall для IPSec на одном из шлюзов. На втором - точно такие же правила.
Я заметил, что после установки LighSquid на обоих шлюзах c установленной галкой Transparent proxy, есть некоторые проблемы. Поэтому предполагаю, что вопрос сводится к разрешению и прохождению всего трафика между сетями офисов без участия прокси. Что еще нужно для этого сделать?
Спасибо. -
Разве сквид имеет отношения к sip ? Удалите все правила в ipsec и создайте одно, разрешающее всё и всем (все "звездочки")
Покажите скрины правил fw на LAN обоих pf.
Смотрите настройки машины с Астериск на предмет fw на нем или запрета\разрешения определенных сетей.
Для работы с Астериск рекомендую FreePBX. Существуеи и готовое коробочное решение - https://www.schmoozecom.com/distro-download.php -
Конечно, не имеет :) (Это я про SIP и proxi). Просто какая-то ж…, пардон, проблема со связью наблюдается.
Сделал два правила (по одному на каждом из pf) для IPSec, для разрешения всего и вся как написано постом ранее.
Скрины правил для LAN прилагаю.
Asterisk крутится на виртуалке, живущей на Hyper-V. Сейчас работает нормально.
Проблемы крайне странные - IPSec есть, сетевые папки доступны, при этом не проходят пинги и не работает репликация между контроллерами в разных сайтах.
И еще вопрос - почему при наличии разрешающих правил для IPSec в логах fw видно это:
-
Скрин правил fw на IPSec.
-
-
Супер. Молодец. Разрешил в IPSec только TCP и не понимает, почему же это ping (ICMP) не работает.
И SIP , к-ый по UDP должен работать.P.s. http://linkmeup.ru/tag/сети%20для%20самых%20маленьких/ - прямо с нулевой части и начинайте. Сам пользую.
-
Да….
Это мой косяк. И невнимательность. Поправил на any - все ок.
И спасибо за линк.