Site-to-site VPN между Kerio Control и pfSense
-
Обратил внимание, что L2TP-интерфейс при создании оказался привязан к LAN, а не WAN.
На что эта привязка может\должна влиять? -
Адрес интерфейса привязки выступает в качестве src ip пакетов, исходящих от L2TP клиента (set l2tp self ipaddr в mpd.conf), если другое явно не указано в поле "Local IP" настроек PPP. Практически все равно, только, если L2TP привязан к LAN и в Local IP пусто, то к исходящим пакетам применяется Outbound NAT.
-
Практически все равно, только, если L2TP привязан к LAN и в Local IP пусто, то к исходящим пакетам применяется Outbound NAT.
Все понятно, спасибо.
Однако при попытке отцепить L2TP от LAN и привязать к одному из WAN получил crash системы с циклической перезагрузкой pfSense на этапе поднятия WAN-интерфейсов.
Вспоминаю, что подобное было еще на 2.0.х, правда с PPTP.Теперь в GUI болтается неудаляемое штатно сообщение о крахе системы, что, похоже, тоже давняя болезнь:
https://redmine.pfsense.com/issues/3486
Пришлось чистить /var/crash вручную.Незагружаемую систему восстановил из single user mode. Удобно - не нужно загружаться с CD\Flash, используются автобэкапы, которые pfSense делает по умолчанию каждый час
Процедура простая, если кому-то интересно - могу выложить, можно отдельной темой.
-
Процедура простая, если кому-то интересно - могу выложить, можно отдельной темой.
Оч. бы хотелось. И с картинками ;)
-
Картинкам там взяться неоткуда :)
Раньше использовал такой способ:
https://forum.pfsense.org/index.php?topic=93943.msg521319#msg521319Показалось, что можно сделать это проще.
В начале загрузки pfSense есть меню, где следуют выбрать single user mode, обычно это клавиша s, в старых\новых релизах может быть другой.
1. Предлагается выбрать shell. Нажимаем Enter для выбора /bin/sh
2. В появившемся приглашении набираем /sbin/mount -o rw / иначе файловая система останется read-only, а мы ведь собираемся манипулировать файлами. Если монтирование прошло удачно - переходим к п.4, если нет - см. п.3
3. Mount может ругнуться, что файловая система "is not clear" и предложит запустить fsck. Соглашаемся, если fsck не запустится сам - стартуем его вручную - /sbin/fsck. Соглашаемся на предложения fsck исправить ошибки.
Вновь запускаем /sbin/mount -o rw /4. Переходим в каталог, где лежит "плохой" конфиг:
cd cf/conf5. Сохраняем его на всякий случай:
cp config.xml config.bad6. Удаляем "плохой" конфиг:
rm config.xml7. Переходим в папку автобэкапов:
cd /conf/backup8. смотрим содержание папки автобэкапов:
ls
Видим список конфигов вида config-14xxxxxxx.xml. Цифры - дата и время создания бэкапов в Unix-стиле. Более свежие файлы идут в конце.9. Выбираем и копируем с переименованием конфиг из папки бэкапов в рабочую папку:
cp config-14xxxxxxx.xml /cf/conf/config.xml10. Перегружаемся:
/sbin/rebootЕсли файловая система была сильно повреждена, восстановление config.xml таким, да и любым другим способом может не помочь.
-
Адрес интерфейса привязки выступает в качестве src ip пакетов, исходящих от L2TP клиента (set l2tp self ipaddr в mpd.conf), если другое явно не указано в поле "Local IP" настроек PPP. Практически все равно, только, если L2TP привязан к LAN и в Local IP пусто, то к исходящим пакетам применяется Outbound NAT.
То есть если Local IP не заполнено то src IP для пакетов, уходящих в Outbound NAT будет IP LAN-интерфейса pfSense?
И все же - если привязка PPP к WAN не является нарушением, почему pfSense (и 2.0 и 2.1 и 2.2) падает при привязке PPP к WAN? Причем падает неприятно, с циклической перезагрузкой на поднятии этого привязанного к WAN PPP?
-
Да, см. sockstat
Не знаю, а какой тип WAN? -
PPPOE
Сходная ошибка в багтрекере:
https://redmine.pfsense.org/issues/4510 -
Думаю, какая-то интерференция PPPoE и L2TP, т. к. в конечном итоге все делается через mpd. На IPoE проблем нет.
-
Вероятно - да. в 2.3 mpd обещают обновить.
Позволю себе еще один вопрос:
Если, оставив привязку к LAN, в Local IP я укажу IP, валидный в удаленной сети с маской этой сети что мне это даст? Можно будет обойтись без Outbound NAT? Достаточно\нужно будет будет просто добавить маршрут в эту сеть? -
Это даст падение туннеля, ну как же так-то? Под src ip я имею ввиду не внутритуннельный трафик, а трафик устанавливающий туннель.
-
2 pigbrother
Огромное спасибо за инс-цию ::)
