Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Доступ по IPSec к расшаренным папкам

    Scheduled Pinned Locked Moved Russian
    6 Posts 2 Posters 2.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      ABBaz
      last edited by

      Настроил IPSec по
      https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2 с указанием на имеющийся в LAN WINS.
      При просмотре сетевого окружения все машины видны, но на расшаренные ресурсы машин на WIN7 не удается зайти.
      Сообщение: Windows не может получить доступ к \Имярек.
      Но к ресурсам на Ubuntu (она же WINS) доступ есть!

      1 Reply Last reply Reply Quote 0
      • P
        pigbrother
        last edited by

        А если отключить на на время WIN7 брандмауэр?
        Если поможет - настраивать в нем разрешения в разделах File and Printer Sharing

        1 Reply Last reply Reply Quote 0
        • A
          ABBaz
          last edited by

          @pigbrother:

          А если отключить на на время WIN7 брандмауэр?
          Если поможет - настраивать в нем разрешения в разделах File and Printer Sharing

          Да, проблема связана с брандмауэром - отключение его позволяет увидеть общие папки.
          Но настраивать разрешения на n-ном количестве машин не совсем то решение :(
          Кажется, я сообразил - надо создать L2TP/IPsec туннель.

          Once an IPsec tunnel is established, clients connected to either network will have access to
          each other as if they were connected on different subnets of the same physical network.

          The L2TP service allows external users to remotely access a network interface of our choice.
          Users connected to our network using an L2TP VPN client will have access to the network as if
          they were on physically connected clients.

          В текущем релизе нет проблем с этим вариантом?
          Нужно будет ставить клиента на удаленные машины или можно использовать описанный IPsec?

          1 Reply Last reply Reply Quote 0
          • P
            pigbrother
            last edited by

            Брандмауэр будет блокировать доступ из любых подсетей отличных от локальной подсети.
            Выход - назначать удаленным клиентам неиспользуемые IP из диапазона  сети, к которой они подключаются. При этом эти адреса не должны быть из диапазона сети, где эти клиенты находятся.

            Но настраивать разрешения на n-ном количестве машин не совсем то решение

            Обычно для совместного доступа используются ресурсы на серверах\выделенных машинах, на них и настраивают брандмауэр.

            Если доступ через IPsec организован средствами Windows (не ваш случай), то  используя групповые политики

            _Можно также выполнить настройку параметра Брандмауэр Windows: Разрешать обход для прошедших проверку IPSec, который находится в следующей папке оснастки «Редактор групповой политики»:

            Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall

            Этот параметр политики разрешает прием незапрошенных входящих сообщений от указанных систем, использующих проверку подлинности с помощью протокола IPSec._
            https://msdn.microsoft.com/ru-ru/library/cc785865%28v=ws.10%29.aspx

            1 Reply Last reply Reply Quote 0
            • A
              ABBaz
              last edited by

              @pigbrother:

              Брандмауэр будет блокировать доступ из любых подсетей отличных от локальной подсети.
              Выход - назначать удаленным клиентам неиспользуемые IP из диапазона  сети, к которой они подключаются. При этом эти адреса не должны быть из диапазона сети, где эти клиенты находятся.

              В How-To пишут для IpSec:
              Enter an unused private Network and appropriate subnet mask (such as /24)
              т.е. надо понимать, что это не неиспользуемые IP из диапазона  сети, к которой они подключаются.

              В How-To для L2TP/IPSec специально указывается, что должен быть выделены неиспользуемые IP из диапазона  локальной сети.

              В фазе 2 IPSec есть 2 поля назначение которых я не вполне понимаю, а именно Local Network

              1 Reply Last reply Reply Quote 0
              • P
                pigbrother
                last edited by

                Enter an unused private Network and appropriate subnet mask (such as /24)
                т.е. надо понимать, что это не неиспользуемые IP из диапазона  сети, к которой они подключаются.

                Нет, речь идет как раз о выборе (для туннеля?) отдельной, неиспользуемой ни на стороне сервера, ни на стороне клиента подсети.

                О выдаче клиентам адресов из диапазона локальной сети я написал лишь как способ обойти необходимость настраивать брандмауэры на локальных машинах. Предпочитаю и клиентов и филиалы объединять в отдельные подсети.

                Настройки IpSec вне моей компетенции, предпочитаю OpenVPN, c ним такой режим (TAP Bridging with LAN) настраивался бы, например, так:
                https://forum.pfsense.org/index.php?topic=46984.0

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.