Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IpSec туннели на три офиса глюки...

    Scheduled Pinned Locked Moved Russian
    40 Posts 4 Posters 4.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      Haliava @pigbrother
      last edited by

      @pigbrother said in IpSec туннели на три офиса глюки...:

      Как я выше писал - настройки MSS ничего не дали. И повторю - там были не pfSense.

      @konstanti said in IpSec туннели на три офиса глюки...:

      Но , опять же , повторюсь , не факт что У Вас проблема в этом

      Это понятно... Но за пробу в глаз вроде не должны дать. :)

      K 1 Reply Last reply Reply Quote 0
      • K
        Konstanti @Haliava
        last edited by

        @haliava В логах PF нет ничего подозрительного , совпадающего по времени с проблемами ? Я имею в виду логи не только ipec

        H 1 Reply Last reply Reply Quote 0
        • H
          Haliava @Konstanti
          last edited by Haliava

          @konstanti

          Нет.
          Вот только что повторил ситуацию когда сетевая шара пропала.
          в логах IPSec нет криминала
          Oct 26 08:45:18 charon: 08[ENC] <con4|92> generating INFORMATIONAL request 14 [ ]
          Oct 26 08:45:18 charon: 08[NET] <con4|92> sending packet: from 46.38.33.110[500] to 31.173.93.241[500] (76 bytes)
          Oct 26 08:45:18 charon: 08[NET] <con4|92> received packet: from 31.173.93.241[500] to 46.38.33.110[500] (76 bytes)
          Oct 26 08:45:18 charon: 08[ENC] <con4|92> parsed INFORMATIONAL response 14 [ ]

          46.38.33.110 - это С
          31.173.93.241 - это B
          в General и gateways никаких записей.....

          в Firewall нашел интересную запись
          https://yadi.sk/i/hybfJFF0KTw-lw

          Это на стороне офиса В
          где 192.168.12.7 это откуда обращался со стороны офиса С,
          а 192.168.11.14 это к кому обращался на стороне офиса В

          Сейчас ищу что за порт такой 62084...

          K P 2 Replies Last reply Reply Quote 0
          • K
            Konstanti @Haliava
            last edited by Konstanti

            @haliava said in IpSec туннели на три офиса глюки...:

            Oct 26 08:45:18 charon: 08[ENC] <con4|92> generating INFORMATIONAL request 14 [ ]
            Oct 26 08:45:18 charon: 08[NET] <con4|92> sending packet: from 46.38.33.110[500] to 31.173.93.241[500] (76 bytes)
            Oct 26 08:45:18 charon: 08[NET] <con4|92> received packet: from 31.173.93.241[500] to 46.38.33.110[500] (76 bytes)
            Oct 26 08:45:18 charon: 08[ENC] <con4|92> parsed INFORMATIONAL response 14 [ ]

            Правила на интерфесе lan покажите
            И еще вопрос есть ли Floating правила ?

            H 1 Reply Last reply Reply Quote 0
            • H
              Haliava @Konstanti
              last edited by Haliava

              @konstanti said in IpSec туннели на три офиса глюки...:

              Правила на интерфейсе lan покажите
              И еще вопрос есть ли Floating правила ?

              на floating ничего.
              На lan сейчас есть правило из lan все порты на все адреса - для поиска косяков включил...
              https://yadi.sk/i/QbGrN_pRcoLj3w

              Блок по порту 62084 ушел, но косяки не прекратились...

              1 Reply Last reply Reply Quote 0
              • P
                pigbrother @Haliava
                last edited by pigbrother

                @haliava said in IpSec туннели на три офиса глюки...:

                Сейчас ищу что за порт такой 62084...

                Это произвольный исходящий порт ПК 12.7 , иницииируещего SMB-сессию с 11.14 . Номер порта ни о чем не говорит. А вот почему он блокируется - вопрос. Кликните на крестик - получите название сработавшего правила.
                И версия PF у вас явно не из свежих.

                H 2 Replies Last reply Reply Quote 0
                • H
                  Haliava @pigbrother
                  last edited by Haliava

                  @pigbrother

                  PF 2.2.4. Надо бы обновить...
                  Сейчас блока нет этого...

                  1 Reply Last reply Reply Quote 0
                  • H
                    Haliava @pigbrother
                    last edited by

                    @pigbrother said in IpSec туннели на три офиса глюки...:

                    И версия PF у вас явно не из свежих.

                    Извините за офтопик, но удаленно обновить его можно прямо через web интерфейс?
                    Он поднимется потом сразу? Или на место все-таки лучше ехать?

                    P 1 Reply Last reply Reply Quote 0
                    • H
                      Haliava @Konstanti
                      last edited by

                      @konstanti said in IpSec туннели на три офиса глюки...:

                      3 настроить OPENVPN туннель

                      Поднял OpenVPN туннель между B-C. вот уже около часа 2 пользователя на нем сидят - пока полет нормальный.
                      Заметил только что время пингов между B-C стало меньше. Да и визуально расшаренные ресурсы открываются заметно веселее, и, соответственно, все что в них.
                      Странно как-то...

                      Сейчас читаю про GRE OVER IPSEC - если уж IpSec использую может еще и его попробовать.

                      K 1 Reply Last reply Reply Quote 0
                      • K
                        Konstanti @Haliava
                        last edited by

                        @haliava Лучше не стоит . В PF свои нюансы в реализации этой технологии .
                        Только если в плане эксперимента и понимания , будет ли работа стабильной
                        По поводу скорости , в большинстве случаев моего опыта IPSEC был быстрее OPENVPN. При чем значительно .
                        Если обновитесь до 2.4.4 , то лучше попробуйте VTI
                        Получается , что я был прав , предположив , что какой-то трафик не заворачивался в туннель . Странно , что при этом A-B и A-C работали без проблем

                        H 2 Replies Last reply Reply Quote 0
                        • H
                          Haliava @Konstanti
                          last edited by Haliava

                          @konstanti said in IpSec туннели на три офиса глюки...:

                          Получается , что я был прав , предположив , что какой-то трафик не заворачивался в туннель . Странно , что при этом A-B и A-C работали без проблем

                          Очень на это похоже... Но A-B и A-C работают и сейчас без проблем.
                          Оставлю наверное пока так - попробую сначала обновить PF до 2.4.4, а потом уже попробую VTI.
                          я почитал про него - там получается как раз роуты прописывать можно явно - должно помочь...

                          Спасибо

                          1 Reply Last reply Reply Quote 0
                          • H
                            Haliava @Konstanti
                            last edited by

                            @konstanti said in IpSec туннели на три офиса глюки...:

                            Получается , что я был прав , предположив , что какой-то трафик не заворачивался в туннель

                            А может дело как раз в треугольнике. По сути у пакета из C в В два пути. C-B и C-A-B...
                            Да они с разной метрикой, но ХЗ как они разруливаются на PF IpSec...
                            надо ради интереса поднять еще один PF и устроить чистую звездочку с центром в А.

                            K 1 Reply Last reply Reply Quote 0
                            • K
                              Konstanti @Haliava
                              last edited by

                              @haliava Вы же в фазе 2 указываете точно , какой трафик уходит в туннель
                              у пакета из C в B один путь ) в туннель
                              другого пути нет - это особенность IPSEC .
                              ТОчно так же из C в А , не пойдет трафик через B
                              Поэтому и не надо настраивать статические маршруты
                              Но , по уму , если делать все маршрутизируемым , лучше сделать звездой , тут Вы правы. Только зачем еще один PF ?
                              Будет просто из B в C путь через А и наоборот

                              H 1 Reply Last reply Reply Quote 0
                              • H
                                Haliava @Konstanti
                                last edited by Haliava

                                @konstanti said in IpSec туннели на три офиса глюки...:

                                Вы же в фазе 2 указываете точно , какой трафик уходит в туннель
                                у пакета из C в B один путь ) в туннель
                                другого пути нет - это особенность IPSEC .

                                Так оно, но у меня почему-то стойкое ощущение что именно маршрут не находится...
                                Может я и не прав. Не настаиваю.

                                @konstanti said in IpSec туннели на три офиса глюки...:

                                Только зачем еще один PF ?

                                Сугубо для тестирования - чтобы не по живым пробовать. Люди должны работать...

                                1 Reply Last reply Reply Quote 0
                                • P
                                  pigbrother @Haliava
                                  last edited by pigbrother

                                  @haliava said in IpSec туннели на три офиса глюки...:

                                  Извините за офтопик, но удаленно обновить его можно прямо через web интерфейс?

                                  Можно, но лучше не нужно, тем более с 2.2.4. на 2.4. Может потребоваться несколько промежуточных обновлений. Если у вас 2.2.4 - х86, то 2.4 вам обновлениями не получить, поддержка х86 заканчивается на 2.3.5

                                  Удаленное администрирование роутера - к дальней дороге (с)😃

                                  1 Reply Last reply Reply Quote 0
                                  • werterW
                                    werter
                                    last edited by werter

                                    Доброго.

                                    @Haliava
                                    Если есть возможность - переходите на Openvpn. Гораздо гибче в настройках, удобнее в (централизованном) админстрировании (в случае схемы клиент-сервер), клиенты есть даже для "кофеварок".

                                    Есть куча инфы в инете по расчету MTU-MSS для IPSEC

                                    Существует простой и эффективный способ вычисления MTU используя ping.
                                    В Win - ping -l размер-пакета-в-байтах -f -t удаленный-адрес
                                    Размер пакета в байтах подбираем от обратного (напр., 1500 байт), понижая до того момента, когда появится стабильный пинг без ошибок. Можно и скрипт с циклом перебора написать.

                                    Метод выручал и оправдывал себя не раз.

                                    H 1 Reply Last reply Reply Quote 0
                                    • H
                                      Haliava @werter
                                      last edited by Haliava

                                      @werter said in IpSec туннели на три офиса глюки...:

                                      В Win - ping -l размер-пакета-в-байтах -f -t удаленный-адрес
                                      Размер пакета в байтах подбираем от обратного (напр., 1500 байт), понижая до того момента, когда появится стабильный пинг без ошибок. Можно и скрипт с циклом перебора написать.
                                      Метод выручал и оправдывал себя не раз.

                                      Спасибо - попробую...

                                      А по поводу перевода всех на OpenVPN - у меня куча клиентов IpSec удаленных на всех серверах...
                                      Можно конечно, но надо крепко подготовиться.

                                      Я глянул, у меня в центральном офисе IpSec на PF поднят 8 лет назад, и до недавнего времени всех устраивал. Но вот нашла коса на камень....

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post
                                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.