IPSEC между pfSense 2.3.* и FritzBox

werter

Доброе.
https://doc.pfsense.org/index.php/Viewing_Routes или netstat -rn

cvhideki

У меня там в таблице ничего не видно про 40 подсеть ( и про IPsec (

pigbrother

Доброе.
https://doc.pfsense.org/index.php/Viewing_Routes или netstat -rn

Маршруты IPsec не видны в таблице маршрутов. Ни в GUI, ни через netstat -rn.
Не знаю, как в других ОС, но для pfSense и Микротик ROS это так.

cvhideki

Status->IPsec->SPDs
Sourse Destination Direction Protocol Tunnel endpoint
192.168.40.0/24 192.168.50.0/24 ◄ Inbound ESP 8.62.62.50 -> 76.76.76.253
192.168.50.0/24 192.168.40.0/24 ► Outbound ESP 76.76.76.253 -> 8.62.62.50

pigbrother

@cvhideki:

Status->IPsec->SPDs
Sourse Destination Direction Protocol Tunnel endpoint
192.168.40.0/24 192.168.50.0/24 ◄ Inbound ESP 8.62.62.50 -> 76.76.76.253
192.168.50.0/24 192.168.40.0/24 ► Outbound ESP 76.76.76.253 -> 8.62.62.50

В StatusIPsec-Overview
Phase 2 активна?
Если да, то на pfSense кроме разрешающего правила в Firewall-Rules-IPsec
IPv4 * * * * * * none
ничего не нужно

Возможно, не хватает чего-то на стороне FritzBox.
Например, для Микротик нужно иметь первым неочевидное правило вида:
/ip firewall nat
add chain=srcnat comment="NAT for IPSEC" dst-address=
192.168.0.0/24 src-address=10.0.3.0/2

и 2 правила accept для input и forward из сети 192.168.0.0/24 в сеть 10.0.3.0/24

P.S.
Возможно - будет полезно еще кому-то.

Если заработает - не используйте виджет Ipsec в дашбоард pfSense:
https://forum.pfsense.org/index.php?topic=107132.0
https://redmine.pfsense.org/issues/6318
Выражается в недоступности GUI, плюс отваливается Open VPN.
В 2.3.2_1 эта ошибка точно есть, в 2.3.3 - не проверял.

cvhideki

Status / IPsec / Overview
http://joxi.ru/5mdoyY8iwD9ar1
Firewall / Rules / IPsec
http://joxi.ru/L21lNzyidElJmX

pigbrother

Не вижу phase 2 на вашем скриншоте. Для примера привожу свой, где активны три phase 2

pfSense у вас - responder, на WAN должны быть pass правила:
UDP порт 500 - у вас оно почему-то в правилах для IPsec. Зачем?
протокол 50 - ESP
протокол 51 - AH

![Status IPsec Overview.png](/public/imported_attachments/1/Status IPsec Overview.png)
![Status IPsec Overview.png_thumb](/public/imported_attachments/1/Status IPsec Overview.png_thumb)

cvhideki

добавил правлила pfSense на WAN pass:
UDP порт 500, 50, 51
На счет phase 2 я не совсем понял
у меня настройки IPsec такие

Изменил VPN / IPsec / Tunnels / Edit Phase 1
Negotiation mode - с main на Aggressive
(IKEv1 initiator)

но пинг с PfSense:
36 bytes from localhost (127.0.0.1): Redirect Host(New addr: IP провайдера)
Vr HL TOS Len ID Flg off TTL Pro cks Src Dst
4 5 00 0054 9792 0 0000 40 01 0000 127.0.0.1 192.168.40.1

Untitled.png_thumb

Untitled1.png_thumb

pigbrother

протокол 50 - ESP
протокол 51 - AH
добавил правлила pfSense на WAN pass:
UDP порт 500, 50, 51

50 и 51 - это не номера портов, а "стандартные" номера протоколов.
В pfSense эти номера не видны, я их привел просто для справки.
Список протоколов, инкапсулируемых в IP:
https://ru.wikipedia.org/wiki/%D0%A1%D0%BF%D0%B8%D1%81%D0%BE%D0%BA_%D0%BF%D1%80%D0%BE%D1%82%D0%BE%D0%BA%D0%BE%D0%BB%D0%BE%D0%B2,%D0%B8%D0%BD%D0%BA%D0%B0%D0%BF%D1%81%D1%83%D0%BB%D0%B8%D1%80%D1%83%D0%B5%D0%BC%D1%8B%D1%85%D0%B2_IP

В pfSense на WAN нужно открыть ESP, AH и для UDP - ISAKMP (можно добавить еще и IPSEC NAT-T)

cvhideki

Спасибо учасникам: werter, pigbrother
Все заработало путем добавление и удаление правил фаервола и режимов подключения
mode = phase1_mode_aggressive;
mode = phase1_mode_idp;