Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    L2TP/IPsec

    Scheduled Pinned Locked Moved Russian
    34 Posts 11 Posters 8.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      PbIXTOP
      last edited by

      @Ilyuha:

      @ivanivanich:

      Так что настраиваем IKEv2:

      Настроил по этой инструкции, виртуальную сеть указал 192.168.32.0/24, в НАТ аут стоит авто и эта виртуальная сеть имеется в списке. На клиенте маршруты сети удалённого офиса (192.168.1.0/24) не прописались. Вопрос: как объявить маршруты для удалённых клиентов?

      Или используете это соединение как маршрут по умолчанию, или дописываете вручную

      1 Reply Last reply Reply Quote 0
      • I
        Ilyuha
        last edited by

        PbIXTOP, Можно конечно и так, но это ведь не цивилизованно, в OpenVPN например указываешь local network и remote network и всё, маршрутизируется на "Ура".
        Может есть ещё у кого мысли, как средствами сервера решить доставку верного маршрута?

        1 Reply Last reply Reply Quote 0
        • P
          PbIXTOP
          last edited by

          ни в L2TP, ни в IPsec такая возможность не предусмотрена.
          Вы можете попробовать воспользоваться протоколами OSPF или RIP для назначения маршрутов на конечные устройства.

          1 Reply Last reply Reply Quote 0
          • I
            Ilyuha
            last edited by

            У меня к стати вообще почему-то не указан удалённый шлюз, видимо накосячил в настройке. Где мог напортачить?

            PS Параметр "Provide a list of accessible networks to clients" разве не должен предоставлять клиенту маршрут?

            ![QIP Shot - Screen 2017.03.27 16-51-16.png](/public/imported_attachments/1/QIP Shot - Screen 2017.03.27 16-51-16.png)
            ![QIP Shot - Screen 2017.03.27 16-51-16.png_thumb](/public/imported_attachments/1/QIP Shot - Screen 2017.03.27 16-51-16.png_thumb)

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              Хм. Вполне возможно (?)

              https://forum.pfsense.org/index.php?topic=127457.0
              http://cocoontech.com/forums/blog/29/entry-454-pfsense-vpn-easy-peasy-way/
              https://boredwookie.net/blog/m/how-get-pfsense-ipsec-vpn-work-bb10

              1 Reply Last reply Reply Quote 0
              • I
                Ilyuha
                last edited by

                Настроил на другом роутере, тоже не выдаёт шлюз по умолчанию. Кому помешал PPP сервер в pfsense, не всем нужна лютая безопасность?! Остаётся один вариант, переходить на OpenVPN?

                ![QIP Shot - Screen 2017.03.28 10-16-44.png](/public/imported_attachments/1/QIP Shot - Screen 2017.03.28 10-16-44.png)
                ![QIP Shot - Screen 2017.03.28 10-16-44.png_thumb](/public/imported_attachments/1/QIP Shot - Screen 2017.03.28 10-16-44.png_thumb)

                1 Reply Last reply Reply Quote 0
                • P
                  pigbrother
                  last edited by

                  Остаётся один вариант, переходить на OpenVPN?

                  Как рабочий вариант - да.
                  Немного лирики. Случай из недавнего прошлого.
                  Очередной Ipsec site-to-site туннель (остальные прекрасно работают с тем же ПО (не pfSense в центре  и аналогичным оборудованием в филиалах) поднимается и работает. Но ходят по нему только пинги (нужные порты открыты, проверено телнетом и пр.)
                  Попытки решать вопрос с провайдером, попытки менять MTU\MSS\MRU вопрос не решили. Как временное решение перешли на OpenVPN, но, чувствую, решение останется постоянным.

                  1 Reply Last reply Reply Quote 0
                  • I
                    Ilyuha
                    last edited by

                    @pigbrother:

                    site-to-site туннель

                    Site2site используем давно средствами OVPN, вполне устраивает. Site2client удобно было всегда с помощью стокового клиента Windows, без доп ПО.

                    1 Reply Last reply Reply Quote 0
                    • P
                      pigbrother
                      last edited by

                      Согласен, clientless VPN удобно. Однако встречал и тут и не тут, что есть трудности с подключением клиента Windows из-за NAT, а клиент почти всегда за NAT.

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        2 Ilyuha
                        А тип туннеля - tun ? Точно не tap ?

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.