PfSense 2.2.6 и mikrotik site-to-site over IPSEC

vadimkara

:)
И если после настройки у вас все равно не конектит просто вручкю убейте все уже выданные сертификаты на микротике.

phase1.png_thumb

phase2.png_thumb

rules.png_thumb

result.png_thumb

group.png_thumb

proposal.png_thumb

peer.png_thumb

policy1.png_thumb

policy2.png_thumb

nat.png_thumb

firewall1.png_thumb

werter

2 vadimkara
А что-то серъезнее , чем aes 128 cbc никак ? :'(

Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.

Buch

Спасибо за скрины, нашел у себя ошибочку с группами. Но одно пока не понятно: со стороны микротика нет доступа к сети за pf до тех пор пока не пинганешь с другой стороны и все это работает пока висят states

vadimkara

Проверяй фаер пфсенса разреши все протоколы и все состояния с локальной сети в удаленную. И если у тебя есть статичные маршруты не забудь Bypass firewall rules for traffic on the same interface галку поставить в адвандс настройках.

vadimkara

@werter:

2 vadimkara
А что-то серъезнее , чем aes 128 cbc никак ? :'(

Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.

Без проблем 256 тоже работает мне просто производительность канала поавторитетней.

Buch

@vadimkara:

Без проблем 256 тоже работает мне просто производительность канала поавторитетней.

Какая у Вас скорость на aes128? В моем случае это 30-40 Мбит.

derwin

@werter:

2 vadimkara
А что-то серъезнее , чем aes 128 cbc никак ? :'(

Зы. Как вариант - настроить Openvpn. Но на МТ он работает только по TCP.

оффтоп.
а чем вас 128 не устраивает?
как дипломированный специалист по криптографии, могу ответственно заявить, что для дешифровки алгоритма в обозримом будущем ещё не придумали технических мощностей.
Даже если есть алгоритмы со 192 или 256 битным шифрованием - это всё равно что бесконечность умножать на 2 или даже на 10 - всё равно получится бесконечность.

derwin

а кто знает, зачем нужно вот это? https://forum.pfsense.org/index.php?action=dlattach;topic=106103.0;attach=75143;image
как можно использовать ipsec в multi-wan решениях? объединяя несколько линков в failower Группу например….

derwin

@vadimkara:

И если у тебя есть статичные маршруты не забудь Bypass firewall rules for traffic on the same interface галку поставить в адвандс настройках.

посмотрел все свои маршрутеры - нигде эта галочка не отмечена.
По описанию весьма смутно представляю зачем она нужно.
Расскажите пожалуйста, какие у меня изза отсудствия галочки есть проблемы. Статические маршруты имеются, включая 2 линка LAN-to-2LAN через failower группу

vadimkara

В адвансд настройках самого пфсенса а не маршрута. То окшко что ты вывел нужно для других типов авторизации помимо мутуал пск

derwin

отпишусь для потомков:

IPSec никак не маршрутизируется, и в интерфейсы не выделяется. Он работает напрямую с ядром.
Mikrotik старых версий(6.18, 5.24) поднять IPSec удалось, но не использую. Остался на L2TP ибо есть проблемы с траффиком от микротика в pf. Микротик в своём репертуаре.