PFSense+Kerio

DmitryK

В PF Sense в firewall ipsec все везде открыто, при подключенном клиенте маршрут до шлюза PF не находит, до железок за Kerio маршрут проходит нормально. Раньше было с обоих концов kerio, все нормально работало. Подозреваю что дело в маршрутизации.

DmitryK

werter

@DmitryK:

В PF Sense в firewall ipsec все везде открыто, при подключенном клиенте маршрут до шлюза PF не находит, до железок за Kerio маршрут проходит нормально. Раньше было с обоих концов kerio, все нормально работало. Подозреваю что дело в маршрутизации.

Т.е. сети, расположенные за пф и керио друг друга видят нормально? А клиенты , подкл. к Керио извне не видят сеть за пф ?
Если это так, то разбирайтесь с керио - пф тут не причем. Скорее всего при подкл. к керио клиенты не получают маршрут в сеть 192.168.1.0.

Важно. Возможно у внешних клиентов локальный адрес совпадает с 192.168.1.х. Дурной тон иметь такую адресацию. Меняйте ее в сети пф. Да и керио-сеть также не блещет.

DmitryK

Извините, что сразу нормально не написал. Раньше было 2 шлюза Kerio с локальными подсетями 10.1.1.0 и 10.1.2.0. Внешние клиенты подключались к первому шлюзу. У внешних клиентов была подсеть 172.26.143.0 (стандартная Kerio). Трафик нормально ходил во все подсети.
Сейчас решил второй шлюз перевести на PFSense. На нем настроил тоннель. Подсети остались такие же.  Внешние клиенты так и остались в подсети 172.26.143.0 и подключаются к шлюзу 10.1.1.0. Но в сеть 10.1.2.0 перестали ходить и не получается это исправить.

werter

Доброе.
А есть ли возможность сменить и второй керио на пф ? Уж если приводить все к единому, то сразу.

Посмотрите таблицу марш-ции на удаленном клиенте при поднятом на нем керио-подклюении.
Зап. ком. строку от имени Администратора и вып. ком. route print. Листинг выкладывайте здесь.

DmitryK

IPv4 таблица маршрута

Активные маршруты:
Сетевой адрес          Маска сети      Адрес шлюза      Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.5.5    192.168.5.143    55
        10.1.1.0    255.255.255.0    172.26.143.1    172.26.143.32      1
        10.1.5.0    255.255.255.0    172.26.143.1    172.26.143.32      1
        10.1.7.0    255.255.255.0    172.26.143.1    172.26.143.32      1
      10.253.58.0    255.255.255.0    172.26.143.1    172.26.143.32      1
        127.0.0.0        255.0.0.0        On-link        127.0.0.1    331
        127.0.0.1  255.255.255.255        On-link        127.0.0.1    331
  127.255.255.255  255.255.255.255        On-link        127.0.0.1    331
    172.26.143.0    255.255.255.0        On-link    172.26.143.32    257
    172.26.143.5  255.255.255.255    172.26.143.1    172.26.143.32      1
    172.26.143.32  255.255.255.255        On-link    172.26.143.32    257
  172.26.143.255  255.255.255.255        On-link    172.26.143.32    257
      192.168.1.0    255.255.255.0    172.26.143.1    172.26.143.32      1
      192.168.5.0    255.255.255.0        On-link    192.168.5.143    311
    192.168.5.143  255.255.255.255        On-link    192.168.5.143    311
    192.168.5.255  255.255.255.255        On-link    192.168.5.143    311
        224.0.0.0        240.0.0.0        On-link        127.0.0.1    331
        224.0.0.0        240.0.0.0        On-link    192.168.5.143    311
        224.0.0.0        240.0.0.0        On-link    172.26.143.32    257
  255.255.255.255  255.255.255.255        On-link        127.0.0.1    331
  255.255.255.255  255.255.255.255        On-link    192.168.5.143    311
  255.255.255.255  255.255.255.255        On-link    172.26.143.32    257

DmitryK

Сеть 10.1.5.0 это 10.1.2.0. Просто 10.1.2.0 для примера написал :)
А поменять на второй стороне PFSense пока не представляется возможности, так как к нему подключаются клиенты. Хотел просто постепенно все перенести.
По сетям у меня получается так.
10.1.1.0 сеть с Kerio к которой подключаются внешние клиенты.
10.1.5.0 сеть с PFSense.
10.1.3.0 сеть L2TP на PFSense к которой подключаются удаленные клиенты.

И еще вопрос созрел. Вчера поднял подключение L2TP к PFSense. Сеть 10.1.3.0. В сеть 10.1.5.0 хожу без проблем, а вот в сеть 10.1.1.0 попасть не могу. А если нахожусь в сети 10.1.5.0 то в сеть 10.1.1.0 попадаю без проблем.

Объясню для чего все замуты. Пока хочу чтоб клиенты подключались к Kerio и нормально ходили в другие подсети. А потом всех перетянуть на PFSense.

DmitryK

Это с подключенным L2TP к PFSense

IPv4 таблица маршрута

Активные маршруты:
Сетевой адрес          Маска сети      Адрес шлюза      Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.5.5    192.168.5.143  4280
          0.0.0.0          0.0.0.0        On-link          10.1.3.0    46
        10.1.3.0  255.255.255.255        On-link          10.1.3.0    301
        127.0.0.0        255.0.0.0        On-link        127.0.0.1  4556
        127.0.0.1  255.255.255.255        On-link        127.0.0.1  4556
  127.255.255.255  255.255.255.255        On-link        127.0.0.1  4556
      192.168.5.0    255.255.255.0        On-link    192.168.5.143  4536
    192.168.5.143  255.255.255.255        On-link    192.168.5.143  4536
    192.168.5.255  255.255.255.255        On-link    192.168.5.143  4536
      212.12.8.78  255.255.255.255      192.168.5.5    192.168.5.143  4281
        224.0.0.0        240.0.0.0        On-link        127.0.0.1  4556
        224.0.0.0        240.0.0.0        On-link    192.168.5.143  4536
        224.0.0.0        240.0.0.0        On-link          10.1.3.0    46
  255.255.255.255  255.255.255.255        On-link        127.0.0.1  4556
  255.255.255.255  255.255.255.255        On-link    192.168.5.143  4536
  255.255.255.255  255.255.255.255        On-link          10.1.3.0    301

pigbrother

Керио не администрировал, по ссылке, приведенной ув. werter - пример site-to-site между PFSense и Kerio, который пришлось организовать. Мои мобильнее клиенты pfSense могут ходить в сеть за Kerio, но они - на Open VPN, в котором добавить маршрут(ы) для клиента не проблема.
По аналогии с моим случаем - если речь о "настоящем" IPsec, то мне понадобилось  добавить вторую phase 2. В вашем случае - между подсетью pfSense и подсетью клиентов VPN Kerio.

Вариант 2. Не знаю, возможно ли это в Kerio, но если попробовать мобильным клиентам Kerio выдавать IP из диапазона LAN Kerio?

werter

Доброе.
При l2tp-подключении у вас весь трафик уходит в туннель:

  0.0.0.0          0.0.0.0         On-link          10.1.3.0     46

И что это за адрес такой 10.1.3.0 ? Это же адрес сети , а не узла.

И еще вопрос созрел. Вчера поднял подключение L2TP к PFSense. Сеть 10.1.3.0. В сеть 10.1.5.0 хожу без проблем, а вот в сеть 10.1.1.0 попасть не могу. А если нахожусь в сети 10.1.5.0 то в сеть 10.1.1.0 попадаю без проблем.

Скорее всего в правилах fw на керио доступ к керио-сети разрешен только для 10.1.5.0 , а для 10.1.3.0 - запрещен.
Разрешите явно этот момент.

Есть ли возможность создать еще одну phase 2 , где будет добавлена еще и сеть 10.1.3.0 ?

DmitryK

Благодаря вашей помощи достиг небольших продвижений (добавил phase 2). Теперь через l2tp могу подключаться к подсети 10.1.1.0.

Но пока не могу побороть подключение Kerio клиентов из подсети 172.26.143.0 к подсети 10.1.5.0. В phase 2 пробовал прописать также эту подсеть.

DmitryK

10.1.3.250 - адрес l2tp сервера.

Кстати если кому пригодится L2TP подключение настраивал по статье https://knasys.ru/4-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-l2tp-%D0%B2-pfsense/

DmitryK

Все заработало ни с того ни сего. Странно конечно, но главное работает. Также в Phase 2 прописана подсеть kerio клиентов. В kerio прописаны подсети удаленных подсетей 10.1.5.0 и 10.1.3.0.

Всем большое спасибо!!!!