PfSense 2.2.6 и mikrotik site-to-site over IPSEC
-
2 derwin
Прошу прощения, если оскорбил.
Попробуйте описать\поднять проблему еще раз на англоветке. Или вообще подать заявку на баг.
Как вариант - спросить на форуме МТ. Возможно, что проблема не с пф.
-
Не работает IPSEC с микротиком!
Нагуглил проблему в буржуйской ветке https://forum.pfsense.org/index.php?topic=87333.15 описание совпадает с моей проблемой.Хочу спросить, есть у кого нибудь рабочие линки пф+микротик через ipsec?
PS: описанные рекомендации по ссылке к результату не приводят. Вторая фаза не стартует, SA не прилетают.Pfsense 2.1.5 - MikroTik 6.32
работает: удалить созданную по умолчанию группу в меню IP - IPSec - Groups, создать новую и указать ее в IP - IPSec - Peers в поле Policy Template Group.
-
у меня уже опускаются руки…..
У меня есть следующие новости:
Я взял 3 микротика и собрал стенд. Дык вот! На первом IPSEC взлетает с пол пинка. На втором - поднимается быстро после запуска системы, но если он рвётся, то уже сам не поднимается ни при каких обстоятельствах :) нужно делать сброс на дефолт (да-да!). На третьем - вообще из коробки не получилось поднять. МИкротики разных моделей :)Дальше ИНТЕРЕСНЕЕ, там где поднимается туннель: из локальной сети pf в сеть микротика я хожу свободно. А вот обратно - пинг ходит, а вот TCP/UDP - нет. Ощущение, как будто дешифруется входящий траффик неправильно. Или обрезается.
Склоняюсь к тому, что проблема на стороне микротика. Они каждый месяц пилят IPSEC. Версия RB OS 6.34
Пока что заброшу это дело на пару месяцев, подожду пару релизов mk + pf, может, что то исправится.
Хочу попутно приспроситься - какие варианты есть для использования IPSEC в multi-WAN решениях? Такие линки в интерфейсы не добавить, как и в группы интерфейсов.
-
http://habrahabr.ru/post/272061/
Вот интересная статья по поводу многосвязоности. -
у меня работает 2.2.6 с микротиками по ипсек обрщайтесь
-
у меня работает 2.2.6 с микротиками по ипсек обрщайтесь
А можно взгянуть на Ваши настройки?
Настраивали микротик после полного сброса (удаления всей конфигурации) или добавляя то что было из коробки? -
дам сразу несколько советов на микротике создавайте пир вручную и отключайте DPD, на пфсенсе все далайте как в манах которых куча по сети у меня стоит икея в1 и аес 128 на обоих стадиях. И да не забывайте срк нат прописывать на микротике.
-
:)
И если после настройки у вас все равно не конектит просто вручкю убейте все уже выданные сертификаты на микротике.
-
2 vadimkara
А что-то серъезнее , чем aes 128 cbc никак ? :'(Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.
-
Спасибо за скрины, нашел у себя ошибочку с группами. Но одно пока не понятно: со стороны микротика нет доступа к сети за pf до тех пор пока не пинганешь с другой стороны и все это работает пока висят states
-
Проверяй фаер пфсенса разреши все протоколы и все состояния с локальной сети в удаленную. И если у тебя есть статичные маршруты не забудь Bypass firewall rules for traffic on the same interface галку поставить в адвандс настройках.
-
2 vadimkara
А что-то серъезнее , чем aes 128 cbc никак ? :'(Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.
Без проблем 256 тоже работает мне просто производительность канала поавторитетней.
-
Без проблем 256 тоже работает мне просто производительность канала поавторитетней.
Какая у Вас скорость на aes128? В моем случае это 30-40 Мбит.
-
2 vadimkara
А что-то серъезнее , чем aes 128 cbc никак ? :'(Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.
оффтоп.
а чем вас 128 не устраивает?
как дипломированный специалист по криптографии, могу ответственно заявить, что для дешифровки алгоритма в обозримом будущем ещё не придумали технических мощностей.
Даже если есть алгоритмы со 192 или 256 битным шифрованием - это всё равно что бесконечность умножать на 2 или даже на 10 - всё равно получится бесконечность. -
- а кто знает, зачем нужно вот это? https://forum.pfsense.org/index.php?action=dlattach;topic=106103.0;attach=75143;image
- как можно использовать ipsec в multi-wan решениях? объединяя несколько линков в failower Группу например….
-
И если у тебя есть статичные маршруты не забудь Bypass firewall rules for traffic on the same interface галку поставить в адвандс настройках.
посмотрел все свои маршрутеры - нигде эта галочка не отмечена.
По описанию весьма смутно представляю зачем она нужно.
Расскажите пожалуйста, какие у меня изза отсудствия галочки есть проблемы. Статические маршруты имеются, включая 2 линка LAN-to-2LAN через failower группу -
В адвансд настройках самого пфсенса а не маршрута. То окшко что ты вывел нужно для других типов авторизации помимо мутуал пск
-
отпишусь для потомков:
- IPSec никак не маршрутизируется, и в интерфейсы не выделяется. Он работает напрямую с ядром.
- Mikrotik старых версий(6.18, 5.24) поднять IPSec удалось, но не использую. Остался на L2TP ибо есть проблемы с траффиком от микротика в pf. Микротик в своём репертуаре.