IPSEC Site-to-Site

tselischev

Настроил IPSEC по инструкции (http://www.cyberciti.biz/faq/howto-site-to-site-ipsec-vpn-between-cisco-openbsd-router-pfsense/).

офис1
сеть 192.168.1.0/24
роутер: dfl-860e

офис2
сеть 192.168.2.0/24
роутер: pfSence 2.2.6ю

IPSEC поднимается и работает. Пинги  между офисами "ходят". Не получается зайти на шары так как дропятся пакеты.

Как исправить это, так как ни один из сервисов кроме пинга через IPSEC не идет.

werter

Доброе.
Скрины правил fw на ipsec, LAN покажите.

tselischev

WAN

LAN

IPSEC

tselischev

затупил :)… поправил пред.сообщение

werter

1. Уберите первое и последнее созданные Вами правила fw на WAN.
2. Какой у Вас типа подключения к Интернет (WAN) ?  Нет ли перед pf еще роутера ? Скрин Interfaces покажите.

tselischev

Убрал 1 и 3  правило из WAN.

В ЦОДе арендован физ сервер. На сервере 2012R2 установлена роль Hyper-v. В hyper-v 2 в сети: ext - сетевая карта напрямую проброшена в pfsence без шары для хоста и является WAN интерфейсом для pfsence и сеть int - внутренняя сеть для всех виртуальных машин и интерфейс lan для pfsence.
техподдержка ЦОД утверждает, что они трафик не режут и впереди ничего нет.

Подключение к WAN - шнурок от пр
int lan

int wan

werter

На IPSec разрешите всё всем по всем портам и протоколам (временно).

Давайте еще раз.
Т.е. пинг проходит ? Что говорит tracert ? У всех вирт. машин в ЦОДе шлюзом установлен адрес pf ?

Во floating rules на pf ничего не добавляли ? Проверьте этот момент.

tselischev

В IPSEC разрешил все по всем портам.

Пинги проходят из офиса в офис без проблем.

tracert из ЦОД в офис1

tracert из офис1 в ЦОД

На виртуальных машинах шлюзом указан ip pfsense (192.168.2.110)

На floating rules я ничего не создавал

werter

В настройках правила fw на IPSec попробуйте сделать так :


tselischev

ничего не изменилось :(

aleksvolgin

а как на таз ставили сенс, если не секрет?

tselischev

Доступ на хост у меня был. Поднял виртуалку, создал подсети и через ipmi настроил pfsence а далее сам хост подключил к локальной сетке.

werter

@tselischev:

Доступ на хост у меня был. Поднял виртуалку, создал подсети и через ipmi настроил pfsence а далее сам хост подключил к локальной сетке.

А VLAN-ов у Вас там нет ?

tselischev

VLANов нет.

tselischev

Перепроверил информацию насчет VLAN.
Оказалось, что в офисе1 сетка 192.168.1.0/24 тегируется vid 10.
Если я правильно понимаю, то на pfsnce интерфейс lan я должен тегировать сеть 192.168.2.0.24 vlan 10 ?
Данное тегирование работает на управляемом свитче, но на  DFL-860E никакой инвормации о vlan нет.

tselischev

Везде отказался от VLANов.
Сейчас стала можно передавать файлы между сетями, но в fw IPSEC до сих пор какие-то дропы есть.
Блокируются только TCP:A, TCP, и TCP:RA

NegoroX

тут небольшое описание
https://doc.pfsense.org/index.php/Why_do_my_logs_show_%22blocked%22_for_traffic_from_a_legitimate_connection

werter

2 tselischev

Я же давал скрины с настройками, в к-ых указано - разрешать TCP пакеты с любыми флагами. Это оно и есть.
Только Reset states после сделать необходимо.
МультиВАНа у Вас же нет?

tselischev

2werter
Я изменил в fw в правиле IPSEC данные изменения еще в прошлый раз. Сделал state reset, но все-равно пакеты дропятся.
от всех ванов ушел полностью.
Не могу победить данную ситуацию.

werter

@tselischev:

2werter
Я изменил в fw в правиле IPSEC данные изменения еще в прошлый раз. Сделал state reset, но все-равно пакеты дропятся.
от всех ванов ушел полностью.
Не могу победить данную ситуацию.

В правиле (-ах) fw на LAN , касающихся доступа в удален. сеть также.