IPSEC Site-to-Site
-
Настроил IPSEC по инструкции (http://www.cyberciti.biz/faq/howto-site-to-site-ipsec-vpn-between-cisco-openbsd-router-pfsense/).
офис1
сеть 192.168.1.0/24
роутер: dfl-860eофис2
сеть 192.168.2.0/24
роутер: pfSence 2.2.6юIPSEC поднимается и работает. Пинги между офисами "ходят". Не получается зайти на шары так как дропятся пакеты.
Как исправить это, так как ни один из сервисов кроме пинга через IPSEC не идет.
-
Доброе.
Скрины правил fw на ipsec, LAN покажите. -
-
затупил :)… поправил пред.сообщение
-
1. Уберите первое и последнее созданные Вами правила fw на WAN.
2. Какой у Вас типа подключения к Интернет (WAN) ? Нет ли перед pf еще роутера ? Скрин Interfaces покажите. -
Убрал 1 и 3 правило из WAN.
В ЦОДе арендован физ сервер. На сервере 2012R2 установлена роль Hyper-v. В hyper-v 2 в сети: ext - сетевая карта напрямую проброшена в pfsence без шары для хоста и является WAN интерфейсом для pfsence и сеть int - внутренняя сеть для всех виртуальных машин и интерфейс lan для pfsence.
техподдержка ЦОД утверждает, что они трафик не режут и впереди ничего нет. -
На IPSec разрешите всё всем по всем портам и протоколам (временно).
Давайте еще раз.
Т.е. пинг проходит ? Что говорит tracert ? У всех вирт. машин в ЦОДе шлюзом установлен адрес pf ?Во floating rules на pf ничего не добавляли ? Проверьте этот момент.
-
-
В настройках правила fw на IPSec попробуйте сделать так :

 -
ничего не изменилось :(
-
а как на таз ставили сенс, если не секрет?
-
Доступ на хост у меня был. Поднял виртуалку, создал подсети и через ipmi настроил pfsence а далее сам хост подключил к локальной сетке.
-
Доступ на хост у меня был. Поднял виртуалку, создал подсети и через ipmi настроил pfsence а далее сам хост подключил к локальной сетке.
А VLAN-ов у Вас там нет ?
-
VLANов нет.
-
Перепроверил информацию насчет VLAN.
Оказалось, что в офисе1 сетка 192.168.1.0/24 тегируется vid 10.
Если я правильно понимаю, то на pfsnce интерфейс lan я должен тегировать сеть 192.168.2.0.24 vlan 10 ?
Данное тегирование работает на управляемом свитче, но на DFL-860E никакой инвормации о vlan нет. -
-
тут небольшое описание
https://doc.pfsense.org/index.php/Why_do_my_logs_show_%22blocked%22_for_traffic_from_a_legitimate_connection -
2 tselischev
Я же давал скрины с настройками, в к-ых указано - разрешать TCP пакеты с любыми флагами. Это оно и есть.
Только Reset states после сделать необходимо.
МультиВАНа у Вас же нет? -
2werter
Я изменил в fw в правиле IPSEC данные изменения еще в прошлый раз. Сделал state reset, но все-равно пакеты дропятся.
от всех ванов ушел полностью.
Не могу победить данную ситуацию. -
2werter
Я изменил в fw в правиле IPSEC данные изменения еще в прошлый раз. Сделал state reset, но все-равно пакеты дропятся.
от всех ванов ушел полностью.
Не могу победить данную ситуацию.В правиле (-ах) fw на LAN , касающихся доступа в удален. сеть также.