Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IpSec туннели на три офиса глюки...

    Scheduled Pinned Locked Moved Russian
    40 Posts 4 Posters 4.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Konstanti @pigbrother
      last edited by Konstanti

      @pigbrother Доброго дня
      Кстати , насчет MSS интересная мысль , у меня везде вот так
      0_1540538596095_8326696b-515c-4dbb-a9d8-5392b6dd4d41-image.png

      H 1 Reply Last reply Reply Quote 0
      • H
        Haliava @Konstanti
        last edited by Haliava

        @konstanti

        День добрый.

        У меня Enable MSS clamping on VPN traffic везде отключен.
        Стоит попробовать включить?

        K 1 Reply Last reply Reply Quote 0
        • K
          Konstanti @Haliava
          last edited by

          @haliava Попробовать можно в варианте B-C. Всяко может быть в Вашем случае.
          Вдруг сработает.

          H 1 Reply Last reply Reply Quote 0
          • H
            Haliava @Konstanti
            last edited by

            @konstanti

            А значение стоит оставить по умолчанию или его можно как-то рассчитать?

            K P 2 Replies Last reply Reply Quote 0
            • K
              Konstanti @Haliava
              last edited by

              @haliava Есть куча инфы в инете по расчету MTU-MSS для IPSEC
              Cisco рекомендует в большинстве случаев 1400 - 1360
              Даже если посмотреть документацию на Strongswan , то можно увидеть вот такую строчку
              0_1540541560314_37d802a2-a377-4b89-b9a1-98c410ccb6aa-image.png

              Т е они рекомендуют MSS ставить 1360 тоже
              Но , опять же , повторюсь , не факт что У Вас проблема в этом

              1 Reply Last reply Reply Quote 0
              • P
                pigbrother @Haliava
                last edited by

                @konstanti said in IpSec туннели на три офиса глюки...:

                не факт что У Вас проблема в этом

                Тоже так думаю.

                @konstanti said in IpSec туннели на три офиса глюки...:

                насчет MSS интересная мысль , у меня везде вот так

                Как я выше писал - настройки MSS ничего не дали. И повторю - там были не pfSense.

                H 1 Reply Last reply Reply Quote 0
                • H
                  Haliava @pigbrother
                  last edited by

                  @pigbrother said in IpSec туннели на три офиса глюки...:

                  Как я выше писал - настройки MSS ничего не дали. И повторю - там были не pfSense.

                  @konstanti said in IpSec туннели на три офиса глюки...:

                  Но , опять же , повторюсь , не факт что У Вас проблема в этом

                  Это понятно... Но за пробу в глаз вроде не должны дать. :)

                  K 1 Reply Last reply Reply Quote 0
                  • K
                    Konstanti @Haliava
                    last edited by

                    @haliava В логах PF нет ничего подозрительного , совпадающего по времени с проблемами ? Я имею в виду логи не только ipec

                    H 1 Reply Last reply Reply Quote 0
                    • H
                      Haliava @Konstanti
                      last edited by Haliava

                      @konstanti

                      Нет.
                      Вот только что повторил ситуацию когда сетевая шара пропала.
                      в логах IPSec нет криминала
                      Oct 26 08:45:18 charon: 08[ENC] <con4|92> generating INFORMATIONAL request 14 [ ]
                      Oct 26 08:45:18 charon: 08[NET] <con4|92> sending packet: from 46.38.33.110[500] to 31.173.93.241[500] (76 bytes)
                      Oct 26 08:45:18 charon: 08[NET] <con4|92> received packet: from 31.173.93.241[500] to 46.38.33.110[500] (76 bytes)
                      Oct 26 08:45:18 charon: 08[ENC] <con4|92> parsed INFORMATIONAL response 14 [ ]

                      46.38.33.110 - это С
                      31.173.93.241 - это B
                      в General и gateways никаких записей.....

                      в Firewall нашел интересную запись
                      https://yadi.sk/i/hybfJFF0KTw-lw

                      Это на стороне офиса В
                      где 192.168.12.7 это откуда обращался со стороны офиса С,
                      а 192.168.11.14 это к кому обращался на стороне офиса В

                      Сейчас ищу что за порт такой 62084...

                      K P 2 Replies Last reply Reply Quote 0
                      • K
                        Konstanti @Haliava
                        last edited by Konstanti

                        @haliava said in IpSec туннели на три офиса глюки...:

                        Oct 26 08:45:18 charon: 08[ENC] <con4|92> generating INFORMATIONAL request 14 [ ]
                        Oct 26 08:45:18 charon: 08[NET] <con4|92> sending packet: from 46.38.33.110[500] to 31.173.93.241[500] (76 bytes)
                        Oct 26 08:45:18 charon: 08[NET] <con4|92> received packet: from 31.173.93.241[500] to 46.38.33.110[500] (76 bytes)
                        Oct 26 08:45:18 charon: 08[ENC] <con4|92> parsed INFORMATIONAL response 14 [ ]

                        Правила на интерфесе lan покажите
                        И еще вопрос есть ли Floating правила ?

                        H 1 Reply Last reply Reply Quote 0
                        • H
                          Haliava @Konstanti
                          last edited by Haliava

                          @konstanti said in IpSec туннели на три офиса глюки...:

                          Правила на интерфейсе lan покажите
                          И еще вопрос есть ли Floating правила ?

                          на floating ничего.
                          На lan сейчас есть правило из lan все порты на все адреса - для поиска косяков включил...
                          https://yadi.sk/i/QbGrN_pRcoLj3w

                          Блок по порту 62084 ушел, но косяки не прекратились...

                          1 Reply Last reply Reply Quote 0
                          • P
                            pigbrother @Haliava
                            last edited by pigbrother

                            @haliava said in IpSec туннели на три офиса глюки...:

                            Сейчас ищу что за порт такой 62084...

                            Это произвольный исходящий порт ПК 12.7 , иницииируещего SMB-сессию с 11.14 . Номер порта ни о чем не говорит. А вот почему он блокируется - вопрос. Кликните на крестик - получите название сработавшего правила.
                            И версия PF у вас явно не из свежих.

                            H 2 Replies Last reply Reply Quote 0
                            • H
                              Haliava @pigbrother
                              last edited by Haliava

                              @pigbrother

                              PF 2.2.4. Надо бы обновить...
                              Сейчас блока нет этого...

                              1 Reply Last reply Reply Quote 0
                              • H
                                Haliava @pigbrother
                                last edited by

                                @pigbrother said in IpSec туннели на три офиса глюки...:

                                И версия PF у вас явно не из свежих.

                                Извините за офтопик, но удаленно обновить его можно прямо через web интерфейс?
                                Он поднимется потом сразу? Или на место все-таки лучше ехать?

                                P 1 Reply Last reply Reply Quote 0
                                • H
                                  Haliava @Konstanti
                                  last edited by

                                  @konstanti said in IpSec туннели на три офиса глюки...:

                                  3 настроить OPENVPN туннель

                                  Поднял OpenVPN туннель между B-C. вот уже около часа 2 пользователя на нем сидят - пока полет нормальный.
                                  Заметил только что время пингов между B-C стало меньше. Да и визуально расшаренные ресурсы открываются заметно веселее, и, соответственно, все что в них.
                                  Странно как-то...

                                  Сейчас читаю про GRE OVER IPSEC - если уж IpSec использую может еще и его попробовать.

                                  K 1 Reply Last reply Reply Quote 0
                                  • K
                                    Konstanti @Haliava
                                    last edited by

                                    @haliava Лучше не стоит . В PF свои нюансы в реализации этой технологии .
                                    Только если в плане эксперимента и понимания , будет ли работа стабильной
                                    По поводу скорости , в большинстве случаев моего опыта IPSEC был быстрее OPENVPN. При чем значительно .
                                    Если обновитесь до 2.4.4 , то лучше попробуйте VTI
                                    Получается , что я был прав , предположив , что какой-то трафик не заворачивался в туннель . Странно , что при этом A-B и A-C работали без проблем

                                    H 2 Replies Last reply Reply Quote 0
                                    • H
                                      Haliava @Konstanti
                                      last edited by Haliava

                                      @konstanti said in IpSec туннели на три офиса глюки...:

                                      Получается , что я был прав , предположив , что какой-то трафик не заворачивался в туннель . Странно , что при этом A-B и A-C работали без проблем

                                      Очень на это похоже... Но A-B и A-C работают и сейчас без проблем.
                                      Оставлю наверное пока так - попробую сначала обновить PF до 2.4.4, а потом уже попробую VTI.
                                      я почитал про него - там получается как раз роуты прописывать можно явно - должно помочь...

                                      Спасибо

                                      1 Reply Last reply Reply Quote 0
                                      • H
                                        Haliava @Konstanti
                                        last edited by

                                        @konstanti said in IpSec туннели на три офиса глюки...:

                                        Получается , что я был прав , предположив , что какой-то трафик не заворачивался в туннель

                                        А может дело как раз в треугольнике. По сути у пакета из C в В два пути. C-B и C-A-B...
                                        Да они с разной метрикой, но ХЗ как они разруливаются на PF IpSec...
                                        надо ради интереса поднять еще один PF и устроить чистую звездочку с центром в А.

                                        K 1 Reply Last reply Reply Quote 0
                                        • K
                                          Konstanti @Haliava
                                          last edited by

                                          @haliava Вы же в фазе 2 указываете точно , какой трафик уходит в туннель
                                          у пакета из C в B один путь ) в туннель
                                          другого пути нет - это особенность IPSEC .
                                          ТОчно так же из C в А , не пойдет трафик через B
                                          Поэтому и не надо настраивать статические маршруты
                                          Но , по уму , если делать все маршрутизируемым , лучше сделать звездой , тут Вы правы. Только зачем еще один PF ?
                                          Будет просто из B в C путь через А и наоборот

                                          H 1 Reply Last reply Reply Quote 0
                                          • H
                                            Haliava @Konstanti
                                            last edited by Haliava

                                            @konstanti said in IpSec туннели на три офиса глюки...:

                                            Вы же в фазе 2 указываете точно , какой трафик уходит в туннель
                                            у пакета из C в B один путь ) в туннель
                                            другого пути нет - это особенность IPSEC .

                                            Так оно, но у меня почему-то стойкое ощущение что именно маршрут не находится...
                                            Может я и не прав. Не настаиваю.

                                            @konstanti said in IpSec туннели на три офиса глюки...:

                                            Только зачем еще один PF ?

                                            Сугубо для тестирования - чтобы не по живым пробовать. Люди должны работать...

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.