cisco и pfsense site to site nhrp authentication DMVPN
-
Прошу не пинать сильно но есть проблема и не как не могу ее решить... решили поднять резервный канал site to site на pfsense но не чего не выходит . на cisco -клиент выглядит так :
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
crypto isakmp key test address 0.0.0.0
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10
!
crypto ipsec transform-set dmvpnset esp-aes 256 esp-sha-hmac
mode transport
!
crypto ipsec profile dmvpnprof
set transform-set dmvpnset
!
interface Tunnel10
ip address 10.1.10.100 255.255.255.0
no ip redirects
ip mtu 1400
ip hold-time eigrp 1 35
ip nhrp authentication DMVPN
ip nhrp map 10.1.10.1 85.15.140.10
ip nhrp map multicast 85.15.140.10
ip nhrp network-id 2
ip nhrp nhs 10.1.10.1
ip tcp adjust-mss 1360
tunnel source 87.250.114.125
tunnel mode gre multipoint
tunnel key 2
delay 1099
tunnel protection ipsec profile dmvpnprof shared
!router eigrp 1
network 10.1.1.0 0.0.0.255
network 10.1.10.0 0.0.0.255
network 192.168.x.0
redistribute staticкак это прописать в pfsense . Все перепробовал... куда копать подскажите пожалуйста
-
@алексей Доброго дня
Боюсь ошибиться , но OPENNHRP для FREEBSD еще не придумалиOpenNHRP implements NBMA Next Hop Resolution Protocol (as defined in RFC 2332). It makes it possible to create dynamic multipoint VPN Linux router using NHRP, GRE and IPsec. It aims to be Cisco DMVPN compatible.
-
PSSENSE со всей свой мощью не может подключиться к cisce.....
-
@алексей Подключиться сможет , но не так как Вы хотите
Можно просто подключиться с помощью GRE over IPSEC ( при наличии белых IP c обеих сторон)
Или использовать VTI начиная с версии 2.4.4. -
@konstanti ip белые но какие манипуляции нужны.. можно поподробней пожалуйста
-
@алексей Задачу четко надо сформулировать , тогда будет понятно , как можно ее решить и можно ли ее решить в принципе . Желательно с картинками
https://www.netgate.com/docs/pfsense/routing/multi-wan.html
https://www.netgate.com/docs/pfsense/routing/directing-traffic-with-policy-routing.html
https://forum.netgate.com/topic/137273/ipsec-%D0%B2-%D1%82%D1%80%D0%B0%D0%BD%D1%81%D0%BF%D0%BE%D1%80%D1%82%D0%BD%D0%BE%D0%BC-%D1%88%D0%B8%D1%84%D1%80%D0%BE%D0%B2%D0%B0%D1%82%D1%8C-%D0%BA%D0%BE%D0%BD%D0%BA%D1%80%D0%B5%D1%82%D0%BD%D1%8B%D0%B9-%D0%BF%D1%80%D0%BE%D1%82%D0%BE%D0%BA%D0%BE%D0%BB/29Это навскидку , что возможно понадобится
-
вот эти настройки необходимо перенести в pfsense я глянул сылочки...спасибо куча инфы хоть начинай писать мемуары.. все расплывчато и чисто теория... а хотелось бы один к одному..
-
я если честно мозг сломал... не понимаю как глазами pfsense это выглядит... логика cisco мне понятна а pf пока не осилил... прошу помочь..
-
@алексей попробую ещё раз пояснить. Вы показываете настройки Cisco с использованием nhrp. По-моему, freebsd, а значит и pf, это не поддерживает. Картинки желательны со схемой сети.
Нужно нормальное ТЗ. -
огромное спасибо за ответ, ( freebsd, а значит и pf, это не поддерживает.) этого достаточно, на той стороне не кто не будет менять оборудование или менять конфигурацию.... нам лишь приходится подстраиваться под выданный нам тунель... но огромное спасибо за разьяснение. тему можно закрыть. cisco и fpsense не понимают друг друга .... хотя клиент поднимается да-же из под windows ... а windows та еще какашка
-
@алексей Cisco и pf понимают друг друга. Но не во всём. Просто надо понять, что Вы хотите сделать, и какие возможности у Вас есть. Кроме слов о резервном канале и конфига Cisco вы ничего не показали.
-
есть белый ip адресс 78.34.34.2 - это интернет адрес сервера за ним стоит cisco на ней поднят DMVPN. я выложил рабочий конфиг cisco -клиента по которому все работает, но в силу технических-обстоятельств мы отказались от cisco.
установили тестовый freebsd pfsense и попытались на нем поднять тонель. не чего не вышло. рабочий конфиг cisco я выложил а вот рабочего конфига pfsense так и не получилось создать. хотя все это что находится в cisco -клиенте за 20 минут поднимается на windows xp-7-8-10 all/// -
@алексей попробуйте Linux в связке с opennhrp настроить. В инете можно найти ссылку на этот проект
-
да нашли спасибо огромное, уже и настроили и стоит работает, хотели решение все-же на pf.... но увы........ такой мощный pfsense инструмент и не умеет простых вещей да-же как-то печально....