Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSEC Site-to-Site

    Scheduled Pinned Locked Moved Russian
    28 Posts 5 Posters 5.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      tselischev
      last edited by

      Настроил IPSEC по инструкции (http://www.cyberciti.biz/faq/howto-site-to-site-ipsec-vpn-between-cisco-openbsd-router-pfsense/).

      офис1
      сеть 192.168.1.0/24
      роутер: dfl-860e

      офис2
      сеть 192.168.2.0/24
      роутер: pfSence 2.2.6ю

      IPSEC поднимается и работает. Пинги  между офисами "ходят". Не получается зайти на шары так как дропятся пакеты.

      Как исправить это, так как ни один из сервисов кроме пинга через IPSEC не идет.

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Доброе.
        Скрины правил fw на ipsec, LAN покажите.

        1 Reply Last reply Reply Quote 0
        • T
          tselischev
          last edited by

          WAN

          LAN

          IPSEC

          1 Reply Last reply Reply Quote 0
          • T
            tselischev
            last edited by

            затупил :)… поправил пред.сообщение

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              1. Уберите первое и последнее созданные Вами правила fw на WAN.
              2. Какой у Вас типа подключения к Интернет (WAN) ?  Нет ли перед pf еще роутера ? Скрин Interfaces покажите.

              1 Reply Last reply Reply Quote 0
              • T
                tselischev
                last edited by

                Убрал 1 и 3  правило из WAN.

                В ЦОДе арендован физ сервер. На сервере 2012R2 установлена роль Hyper-v. В hyper-v 2 в сети: ext - сетевая карта напрямую проброшена в pfsence без шары для хоста и является WAN интерфейсом для pfsence и сеть int - внутренняя сеть для всех виртуальных машин и интерфейс lan для pfsence.
                техподдержка ЦОД утверждает, что они трафик не режут и впереди ничего нет.

                Подключение к WAN - шнурок от пр
                int lan

                int wan

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  На IPSec разрешите всё всем по всем портам и протоколам (временно).

                  Давайте еще раз.
                  Т.е. пинг проходит ? Что говорит tracert ? У всех вирт. машин в ЦОДе шлюзом установлен адрес pf ?

                  Во floating rules на pf ничего не добавляли ? Проверьте этот момент.

                  1 Reply Last reply Reply Quote 0
                  • T
                    tselischev
                    last edited by

                    В IPSEC разрешил все по всем портам.

                    Пинги проходят из офиса в офис без проблем.

                    tracert из ЦОД в офис1

                    tracert из офис1 в ЦОД

                    На виртуальных машинах шлюзом указан ip pfsense (192.168.2.110)

                    На floating rules я ничего не создавал

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      В настройках правила fw на IPSec попробуйте сделать так :

                      ![2016-01-09 23_04_35-pfSense_ Firewall_ Rules_ Edit.jpg](/public/imported_attachments/1/2016-01-09 23_04_35-pfSense_ Firewall_ Rules_ Edit.jpg)
                      ![2016-01-09 23_04_35-pfSense_ Firewall_ Rules_ Edit.jpg_thumb](/public/imported_attachments/1/2016-01-09 23_04_35-pfSense_ Firewall_ Rules_ Edit.jpg_thumb)

                      1 Reply Last reply Reply Quote 0
                      • T
                        tselischev
                        last edited by

                        ничего не изменилось :(

                        1 Reply Last reply Reply Quote 0
                        • A
                          aleksvolgin
                          last edited by

                          а как на таз ставили сенс, если не секрет?

                          1 Reply Last reply Reply Quote 0
                          • T
                            tselischev
                            last edited by

                            Доступ на хост у меня был. Поднял виртуалку, создал подсети и через ipmi настроил pfsence а далее сам хост подключил к локальной сетке.

                            1 Reply Last reply Reply Quote 0
                            • werterW
                              werter
                              last edited by

                              @tselischev:

                              Доступ на хост у меня был. Поднял виртуалку, создал подсети и через ipmi настроил pfsence а далее сам хост подключил к локальной сетке.

                              А VLAN-ов у Вас там нет ?

                              1 Reply Last reply Reply Quote 0
                              • T
                                tselischev
                                last edited by

                                VLANов нет.

                                1 Reply Last reply Reply Quote 0
                                • T
                                  tselischev
                                  last edited by

                                  Перепроверил информацию насчет VLAN.
                                  Оказалось, что в офисе1 сетка 192.168.1.0/24 тегируется vid 10.
                                  Если я правильно понимаю, то на pfsnce интерфейс lan я должен тегировать сеть 192.168.2.0.24 vlan 10 ?
                                  Данное тегирование работает на управляемом свитче, но на  DFL-860E никакой инвормации о vlan нет.

                                  1 Reply Last reply Reply Quote 0
                                  • T
                                    tselischev
                                    last edited by

                                    Везде отказался от VLANов.
                                    Сейчас стала можно передавать файлы между сетями, но в fw IPSEC до сих пор какие-то дропы есть.
                                    Блокируются только TCP:A, TCP, и TCP:RA

                                    1 Reply Last reply Reply Quote 0
                                    • N
                                      NegoroX
                                      last edited by

                                      тут небольшое описание
                                      https://doc.pfsense.org/index.php/Why_do_my_logs_show_%22blocked%22_for_traffic_from_a_legitimate_connection

                                      1 Reply Last reply Reply Quote 0
                                      • werterW
                                        werter
                                        last edited by

                                        2 tselischev

                                        Я же давал скрины с настройками, в к-ых указано - разрешать TCP пакеты с любыми флагами. Это оно и есть.
                                        Только Reset states после сделать необходимо.
                                        МультиВАНа у Вас же нет?

                                        1 Reply Last reply Reply Quote 0
                                        • T
                                          tselischev
                                          last edited by

                                          2werter
                                          Я изменил в fw в правиле IPSEC данные изменения еще в прошлый раз. Сделал state reset, но все-равно пакеты дропятся.
                                          от всех ванов ушел полностью.
                                          Не могу победить данную ситуацию.

                                          1 Reply Last reply Reply Quote 0
                                          • werterW
                                            werter
                                            last edited by

                                            @tselischev:

                                            2werter
                                            Я изменил в fw в правиле IPSEC данные изменения еще в прошлый раз. Сделал state reset, но все-равно пакеты дропятся.
                                            от всех ванов ушел полностью.
                                            Не могу победить данную ситуацию.

                                            В правиле (-ах) fw на LAN , касающихся доступа в удален. сеть также.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.