Pfsense+juniper ipsec и маршрутизация сетей
-
Такой вопрос: есть стык между локалками по ipsec'у.
первая локалка имеет подсеть 192.168.4.0/24 и она за pfsense.
вторая локалка сначала имела 192.168.10.0/23 и был за juniper, а потом туда добавились ещё подсети 192.168.2.0/24, 192.168.101.0/24, 192.168.250.0/24. Надо бы объяснить pfsense, что обращения и к этим сетям, надо тоже завернуть в ipsec-туннель.
При этом следует помнить, что подсеть 192.168.3.0/24 это третья локалка и обращения на неё заворачиваются в OpenVPN-туннель. Т.е. нет никаких смежных сетей. -
Доброго.
Ipsec - tun ?
Juniper - остался или сменили на пф ?
Добавьте в настройках ипсек на пф в фазу 2 ещё подсети 192.168.2.0/24, 192.168.101.0/24, 192.168.250.0/24При этом следует помнить, что подсеть 192.168.3.0/24 это третья локалка и обращения на неё заворачиваются в OpenVPN-туннель. Т.е. нет никаких смежных сетей.
192.168.3.0/24 - за Juniper ? Роут к ней настраивается на впн-сервере пф и не имеет отношения к ипсек.
-
Ipsec - tun ?
А ХЕЗ. Видимо tun. Это в фазе два? Написано Tunnel. Значит - tun.
Juniper - остался или сменили на пф ?
Увы. Не сменился. На кой чёрт он тут нужен - непонятно, но зато круто. С сенсом было бы на пару порядков проще. Хотя мысль о смене бродит.
Добавьте в настройках ипсек на пф в фазу 2 ещё подсети 192.168.2.0/24, 192.168.101.0/24, 192.168.250.0/24
В смысле, добавить ещё одну фазу два? Или в существующей фазе добавить сети?
Если в существующую, то как это сделать? В существующей веб-морде это не делается. -
192.168.3.0/24 - за Juniper ? Роут к ней настраивается на впн-сервере пф и не имеет отношения к ипсек.
Нет она за другим пфсенсом и изначально был туннель был только до этого сенса (это локалка удалённого цеха). Но теперь с неё тоже есть ipsec туннель до джунипера и как реликт, OpenVPN-туннель до сенса с четвертой подсетью. Если я врублюсь, как прописать дополнительные подсети на этом сенсе, то третью подсеть я перестрою аналогично. Ну, либо буду делать ещё один пфсенс, а джунипер будет выполнять роль L3-свича. Ибо задрал.
-
В смысле, добавить ещё одну фазу два? Или в существующей фазе добавить сети?
Если в существующую, то как это сделать? В существующей веб-морде это не делается.
Делается. Кнопка "Add P2" На скриншоте - четыре phase2 добавлены на одну phase1.
Сети, кроме 10.0.2.0 - OpenVPN к pfSense, как site-to-site, так и Remote Access.А ХЕЗ. Видимо tun. Это в фазе два? Написано Tunnel. Значит - tun.
В ipsec "tun" - это tunnel. "Не tun" - transport. Насколько я понимаю - transport не является аналогам tap в Open VPN.
-
Ага… Понятно. Значит просто поднять нужное кол-во вторых фаз. Я-то просто думал, что всё в пределах одной второй фазы делается.
А на той стороне что-то надо настраивать? -
Доброго.
Убирайте Juniper из схемы, если возможно. Разверните вместо него пф. Иначе хлебнете горя с такой схемой. -
А на той стороне что-то надо настраивать?
Да, в случае ipsec настройки делаются с обеих сторон.
В отличие от OpenVPN, где маршруты могут быть преданы сервером клиенту. -
Доброго.
Убирайте Juniper из схемы, если возможно. Разверните вместо него пф. Иначе хлебнете горя с такой схемой.Не я эту хрень придумал, а начальство. Это они захотели "чтоб было круто", а не чтобы разумно и работоспособно. Не мне это и менять. Тем более, что я дорабатываю последние дни.
-
Доброго.
Это они захотели "чтоб было круто"
и
Тем более, что я дорабатываю последние дни
Тогда о чем речь вообще. Когнитивный диссонанс. Пускай те, кто хочет "круто" и разбираются.