IPSEC Site-to-Site
-
Доброе.
Скрины правил fw на ipsec, LAN покажите. -
WAN
LAN
IPSEC
-
затупил :)… поправил пред.сообщение
-
1. Уберите первое и последнее созданные Вами правила fw на WAN.
2. Какой у Вас типа подключения к Интернет (WAN) ? Нет ли перед pf еще роутера ? Скрин Interfaces покажите. -
Убрал 1 и 3 правило из WAN.
В ЦОДе арендован физ сервер. На сервере 2012R2 установлена роль Hyper-v. В hyper-v 2 в сети: ext - сетевая карта напрямую проброшена в pfsence без шары для хоста и является WAN интерфейсом для pfsence и сеть int - внутренняя сеть для всех виртуальных машин и интерфейс lan для pfsence.
техподдержка ЦОД утверждает, что они трафик не режут и впереди ничего нет.Подключение к WAN - шнурок от пр
int lan
int wan
-
На IPSec разрешите всё всем по всем портам и протоколам (временно).
Давайте еще раз.
Т.е. пинг проходит ? Что говорит tracert ? У всех вирт. машин в ЦОДе шлюзом установлен адрес pf ?Во floating rules на pf ничего не добавляли ? Проверьте этот момент.
-
В IPSEC разрешил все по всем портам.
Пинги проходят из офиса в офис без проблем.
tracert из ЦОД в офис1
tracert из офис1 в ЦОД
На виртуальных машинах шлюзом указан ip pfsense (192.168.2.110)
На floating rules я ничего не создавал
-
В настройках правила fw на IPSec попробуйте сделать так :
 -
ничего не изменилось :(
-
а как на таз ставили сенс, если не секрет?
-
Доступ на хост у меня был. Поднял виртуалку, создал подсети и через ipmi настроил pfsence а далее сам хост подключил к локальной сетке.
-
Доступ на хост у меня был. Поднял виртуалку, создал подсети и через ipmi настроил pfsence а далее сам хост подключил к локальной сетке.
А VLAN-ов у Вас там нет ?
-
VLANов нет.
-
Перепроверил информацию насчет VLAN.
Оказалось, что в офисе1 сетка 192.168.1.0/24 тегируется vid 10.
Если я правильно понимаю, то на pfsnce интерфейс lan я должен тегировать сеть 192.168.2.0.24 vlan 10 ?
Данное тегирование работает на управляемом свитче, но на DFL-860E никакой инвормации о vlan нет. -
Везде отказался от VLANов.
Сейчас стала можно передавать файлы между сетями, но в fw IPSEC до сих пор какие-то дропы есть.
Блокируются только TCP:A, TCP, и TCP:RA
-
тут небольшое описание
https://doc.pfsense.org/index.php/Why_do_my_logs_show_%22blocked%22_for_traffic_from_a_legitimate_connection -
2 tselischev
Я же давал скрины с настройками, в к-ых указано - разрешать TCP пакеты с любыми флагами. Это оно и есть.
Только Reset states после сделать необходимо.
МультиВАНа у Вас же нет? -
2werter
Я изменил в fw в правиле IPSEC данные изменения еще в прошлый раз. Сделал state reset, но все-равно пакеты дропятся.
от всех ванов ушел полностью.
Не могу победить данную ситуацию. -
2werter
Я изменил в fw в правиле IPSEC данные изменения еще в прошлый раз. Сделал state reset, но все-равно пакеты дропятся.
от всех ванов ушел полностью.
Не могу победить данную ситуацию.В правиле (-ах) fw на LAN , касающихся доступа в удален. сеть также.
-
Поправил, не помогло. Ребутнул даже.
Блокируются только TCP:A, TCP, и TCP:RAЗаметил, что между офисами подключаюсь к FTP, но содержимое не отображается.
