Draytek To Pfsense 2.2.6 ipsec problemi (pfsense to pfsense yine sorunlu)
-
Herkese merhaba
ipsec tarafında şöyle bir sorunum var
merkez ve şube taraflarında modemler bridge mode da değil router modda
500 ve 4500 portları pfsense wan bacağına ve draytek wan bacağına natlanmışdraytek wan ip: 192.168.2.111 gw:192.168.2.1
draytek lan ip : 192.168.122.1
dsl modem wan ip : 78.xxx.xxx.xxxdsl modem 500 and 4500 nat to 192.168.2.111
pfsense wan ip: 10.35.35.111 gw: 10.35.35.1
pfsense lan ip : 192.168.1.1
4500 and 500 nat to 10.35.1.111
dsl modem wan ip: 78.xxx.xxx.xxşubede draytekte olsa pfsense te olsa yinede ip sec bağlanmıyor
ama şubeyi yada merkezdeki modemi ppoe olarak ayarladığımda direk bağlanıyor.
outbound nat tarafı autoda acaba manuele çekip bi ayarmı yapmak lazım
genel forumdaki ipsec başlığı altınada konuyu açtım ama dönüş yapan yok.
linki ve bütün ekran görüntüleri aşağıdadır.https://forum.pfsense.org/index.php?topic=112119.0
-
merhaba,
modemlerin marka, modelleri nedir ?
router mod'da, dnat yapmak yerine, dmz ile pf wan ip tarafıma tüm trafiği yönlendirebilirisiniz.
draytek modellerinin bazılarında, direk rj11 sonlandırma mevcut, kullanabilirsiniz. / ref. 2760 , 2860 vb.
bazı modemlerde, firewall rolü aktif olabiliyor, dmz tarafını yapılandırırken, kapatmanız gerekebilir. -
zyxel ve airties
dmz leri aktif edipte denedim aynı
bu sorunu zaten lab ortamında gerçek ortamda da yaşıyorum yine aynı
gerçek ortamda direk fiber tılgın ve cisco router olan modemlerde de aynı sorun var.
rj11 olayına gerek yok zaten dsl olan hatları bridge mode a alınca sorunsuz bağlanabiliyor
ama arada modem olupta port natlayınca yada dmz aktif edince ip sec oturmuyor
sanırım merkez ve şubede router mode da olan modemler kullanılınca farklı bir ayar gerekli ama çözemedim -
tekrar merhaba,
rj11 sonlandırma tarafında, draytek varsa ortamda, ek bir modem kullanmaya gerek kalmayacağını belirttim.
prod. ve lab ortamında nasıl aynı sonucu alıyorsunuz ?
trafiği dinlediğinizde çıktı nedir ? -
rj11 sonlandırma yapamam
bazı şubelerde fiber için direk router kullanılmakta
yani 500 ve 4500 portlarıyla natlayabilirim pppoe kullanamayız.
pfsense ten pfsense e aldıgım hata aşağıdaki gibidirama 2 pfsense ten birinin modemini router mode dan bridge moda çekip pfsense te pppoe ile baglanınca direk bu ayarlarla bağlanabiliyor.
v1 ayarlarında hiçbi sorun yok birebir aynı 2 tarafta
ay 24 02:53:57 charon: 14[IKE] <con2000|131>received NAT-T (RFC 3947) vendor ID
May 24 02:53:57 charon: 14[ENC] <con2000|131>generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
May 24 02:53:57 charon: 14[NET] <con2000|131>sending packet: from 192.168.1.11[500] to 78.xxx.xxx.xx[500] (236 bytes)
May 24 02:53:57 charon: 14[NET] <con2000|131>received packet: from 78.xxx.xxx.xx[500] to 192.168.1.11[500] (236 bytes)
May 24 02:53:57 charon: 14[ENC] <con2000|131>parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
May 24 02:53:57 charon: 14[IKE] <con2000|131>local host is behind NAT, sending keep alives
May 24 02:53:57 charon: 14[IKE] <con2000|131>remote host is behind NAT
May 24 02:53:57 charon: 14[ENC] <con2000|131>generating ID_PROT request 0 [ ID HASH ]
May 24 02:53:57 charon: 14[NET] <con2000|131>sending packet: from 192.168.1.11[4500] to 78.xxx.xx.xx[4500] (68 bytes)
May 24 02:53:57 charon: 14[NET] <con2000|131>received packet: from 78.xxx.xxx.xx[4500] to 192.168.1.11[4500] (84 bytes)
May 24 02:53:57 charon: 14[ENC] <con2000|131>parsed INFORMATIONAL_V1 request 4191244139 [ HASH N(AUTH_FAILED) ]
May 24 02:53:57 charon: 14[IKE] <con2000|131>received AUTHENTICATION_FAILED error notify</con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131> -
ipsec için, outbound nat tarafını manual'e alıp, karşı network blogu ve 500 port'u için kural oluşturarak, tekrar deneyin.
-
nat outbound rule o manuele çekip tekrardan vpn leri silip sıfırdan oluşturdum yine aynı hatayı alıyorum
parsed INFORMATIONAL_V1 request 2190592019 [ HASH N(AUTH_FAILED) ]
v1 tarafında farklı bi ayarmı yapmak gerek anlamadımbu şekilde 2 taraftada modemleri router mode da kullanıp 500 ve 4500 portlarını natlayıp ip sec kullanıyor musun?
-
outbound nat tarafında, remote side ve ipsec port için yeni kural oluşturdunuz mu ?
kimlik doğrulama hatası alıyorsunuz, security mode ve phase'ları kontrol edin.
router mod'da, dnat yerine, dmz kullandım.
airties markasının bazı modelleri, pptp ve ipsec vpn trafiğini router mod'da geçirmemekte. çağrı merkezinden bu modelleri öğrenebiliyorsunuz.
kurumunuzun bütçe sıkıntısı yok ise, bu kadar uğraşmak yerine, 2 tane draytek ile direk çözüm üretebilirsiniz. -
Merhaba
Ben Pfsense 2.3 ile forti arasında ipsec baglantı yaptım pfsensenin baglı oldugu modem router modda idi modemdem portları actım pf ye dogru fortı brıdge modda ıdı bıraz ugrastım fakat sonra sorunu cozdum sorunsuz baglantı kurmustum burada ben bıraz arastırdım pfsense tarafında securıty key gırıgın yerde my ıp adres yazıyor oraya onun secmeyıp ıp adres secıp pfnın bulundugu dıs ıpyı yazarak sorunu cozmustum bılgıne -
outbound nat tarafında, remote side ve ipsec port için yeni kural oluşturdunuz mu ?
kimlik doğrulama hatası alıyorsunuz, security mode ve phase'ları kontrol edin.
router mod'da, dnat yerine, dmz kullandım.
airties markasının bazı modelleri, pptp ve ipsec vpn trafiğini router mod'da geçirmemekte. çağrı merkezinden bu modelleri öğrenebiliyorsunuz.
kurumunuzun bütçe sıkıntısı yok ise, bu kadar uğraşmak yerine, 2 tane draytek ile direk çözüm üretebilirsiniz.merkezde pfsense kullanmak varken neden üst başka bir çözüme gideyimki.
dmz i zaten kullanıyorum.
pfsense ten pfsense olan sorunu çözdüm
ama draytekten pfsense e sorun devam ediyor. -
Merhaba
Ben Pfsense 2.3 ile forti arasında ipsec baglantı yaptım pfsensenin baglı oldugu modem router modda idi modemdem portları actım pf ye dogru fortı brıdge modda ıdı bıraz ugrastım fakat sonra sorunu cozdum sorunsuz baglantı kurmustum burada ben bıraz arastırdım pfsense tarafında securıty key gırıgın yerde my ıp adres yazıyor oraya onun secmeyıp ıp adres secıp pfnın bulundugu dıs ıpyı yazarak sorunu cozmustum bılgınedoğru olan ayar bahsettiğiniz ayar zaten.
şuan 2 tarafta router mode da ise pfsense ten pfsense e sorunsuz bağlanılıyor.
fakat draytekten pfsense e gelmiyor nedense
veya bridge mode dan router mode olan tarafada sorun yok.
dsl olan yerlerde sıkıntı yok bridge mode a alınabilir modem
en büyük sıkıntı direk fiber olan yerlerde statik ip ile bağlanılan şubelerde sorun oluyor. metro ethernet vs. -
merkezde pfsense kullanmak varken neden üst başka bir çözüme gideyimki.
bu kanıya hangi cümlemden vardınız ?
draytekleri, vpn gateway veya modem olarak kullanabilirsiniz.
dmz zaten kullanıyorsanız, trafiği analiz ederek, iki tane snat kuralı oluşturmak zor olmasa gerek.