PFSense+Kerio

DmitryK

Извините, что сразу нормально не написал. Раньше было 2 шлюза Kerio с локальными подсетями 10.1.1.0 и 10.1.2.0. Внешние клиенты подключались к первому шлюзу. У внешних клиентов была подсеть 172.26.143.0 (стандартная Kerio). Трафик нормально ходил во все подсети.
Сейчас решил второй шлюз перевести на PFSense. На нем настроил тоннель. Подсети остались такие же. Внешние клиенты так и остались в подсети 172.26.143.0 и подключаются к шлюзу 10.1.1.0. Но в сеть 10.1.2.0 перестали ходить и не получается это исправить.

werter

Доброе.
А есть ли возможность сменить и второй керио на пф ? Уж если приводить все к единому, то сразу.

Посмотрите таблицу марш-ции на удаленном клиенте при поднятом на нем керио-подклюении.
Зап. ком. строку от имени Администратора и вып. ком. route print. Листинг выкладывайте здесь.

DmitryK

IPv4 таблица маршрута

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.5.5 192.168.5.143 55
10.1.1.0 255.255.255.0 172.26.143.1 172.26.143.32 1
10.1.5.0 255.255.255.0 172.26.143.1 172.26.143.32 1
10.1.7.0 255.255.255.0 172.26.143.1 172.26.143.32 1
10.253.58.0 255.255.255.0 172.26.143.1 172.26.143.32 1
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
172.26.143.0 255.255.255.0 On-link 172.26.143.32 257
172.26.143.5 255.255.255.255 172.26.143.1 172.26.143.32 1
172.26.143.32 255.255.255.255 On-link 172.26.143.32 257
172.26.143.255 255.255.255.255 On-link 172.26.143.32 257
192.168.1.0 255.255.255.0 172.26.143.1 172.26.143.32 1
192.168.5.0 255.255.255.0 On-link 192.168.5.143 311
192.168.5.143 255.255.255.255 On-link 192.168.5.143 311
192.168.5.255 255.255.255.255 On-link 192.168.5.143 311
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.5.143 311
224.0.0.0 240.0.0.0 On-link 172.26.143.32 257
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.5.143 311
255.255.255.255 255.255.255.255 On-link 172.26.143.32 257

DmitryK

Сеть 10.1.5.0 это 10.1.2.0. Просто 10.1.2.0 для примера написал :)
А поменять на второй стороне PFSense пока не представляется возможности, так как к нему подключаются клиенты. Хотел просто постепенно все перенести.
По сетям у меня получается так.
10.1.1.0 сеть с Kerio к которой подключаются внешние клиенты.
10.1.5.0 сеть с PFSense.
10.1.3.0 сеть L2TP на PFSense к которой подключаются удаленные клиенты.

И еще вопрос созрел. Вчера поднял подключение L2TP к PFSense. Сеть 10.1.3.0. В сеть 10.1.5.0 хожу без проблем, а вот в сеть 10.1.1.0 попасть не могу. А если нахожусь в сети 10.1.5.0 то в сеть 10.1.1.0 попадаю без проблем.

Объясню для чего все замуты. Пока хочу чтоб клиенты подключались к Kerio и нормально ходили в другие подсети. А потом всех перетянуть на PFSense.

DmitryK

Это с подключенным L2TP к PFSense

IPv4 таблица маршрута

Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.5.5 192.168.5.143 4280
0.0.0.0 0.0.0.0 On-link 10.1.3.0 46
10.1.3.0 255.255.255.255 On-link 10.1.3.0 301
127.0.0.0 255.0.0.0 On-link 127.0.0.1 4556
127.0.0.1 255.255.255.255 On-link 127.0.0.1 4556
127.255.255.255 255.255.255.255 On-link 127.0.0.1 4556
192.168.5.0 255.255.255.0 On-link 192.168.5.143 4536
192.168.5.143 255.255.255.255 On-link 192.168.5.143 4536
192.168.5.255 255.255.255.255 On-link 192.168.5.143 4536
212.12.8.78 255.255.255.255 192.168.5.5 192.168.5.143 4281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 4556
224.0.0.0 240.0.0.0 On-link 192.168.5.143 4536
224.0.0.0 240.0.0.0 On-link 10.1.3.0 46
255.255.255.255 255.255.255.255 On-link 127.0.0.1 4556
255.255.255.255 255.255.255.255 On-link 192.168.5.143 4536
255.255.255.255 255.255.255.255 On-link 10.1.3.0 301

pigbrother

Керио не администрировал, по ссылке, приведенной ув. werter - пример site-to-site между PFSense и Kerio, который пришлось организовать. Мои мобильнее клиенты pfSense могут ходить в сеть за Kerio, но они - на Open VPN, в котором добавить маршрут(ы) для клиента не проблема.
По аналогии с моим случаем - если речь о "настоящем" IPsec, то мне понадобилось добавить вторую phase 2. В вашем случае - между подсетью pfSense и подсетью клиентов VPN Kerio.

Вариант 2. Не знаю, возможно ли это в Kerio, но если попробовать мобильным клиентам Kerio выдавать IP из диапазона LAN Kerio?

werter

Доброе.
При l2tp-подключении у вас весь трафик уходит в туннель:

  0.0.0.0          0.0.0.0         On-link          10.1.3.0     46

И что это за адрес такой 10.1.3.0 ? Это же адрес сети , а не узла.

И еще вопрос созрел. Вчера поднял подключение L2TP к PFSense. Сеть 10.1.3.0. В сеть 10.1.5.0 хожу без проблем, а вот в сеть 10.1.1.0 попасть не могу. А если нахожусь в сети 10.1.5.0 то в сеть 10.1.1.0 попадаю без проблем.

Скорее всего в правилах fw на керио доступ к керио-сети разрешен только для 10.1.5.0 , а для 10.1.3.0 - запрещен.
Разрешите явно этот момент.

Есть ли возможность создать еще одну phase 2 , где будет добавлена еще и сеть 10.1.3.0 ?

DmitryK

Благодаря вашей помощи достиг небольших продвижений (добавил phase 2). Теперь через l2tp могу подключаться к подсети 10.1.1.0.

Но пока не могу побороть подключение Kerio клиентов из подсети 172.26.143.0 к подсети 10.1.5.0. В phase 2 пробовал прописать также эту подсеть.

Снимок.PNG
Снимок.PNG_thumb
Снимок2.PNG
Снимок2.PNG_thumb

DmitryK

10.1.3.250 - адрес l2tp сервера.

Кстати если кому пригодится L2TP подключение настраивал по статье https://knasys.ru/4-%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-l2tp-%D0%B2-pfsense/

DmitryK

Все заработало ни с того ни сего. Странно конечно, но главное работает. Также в Phase 2 прописана подсеть kerio клиентов. В kerio прописаны подсети удаленных подсетей 10.1.5.0 и 10.1.3.0.

Всем большое спасибо!!!!

Снимок3.PNG
Снимок3.PNG_thumb