Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Маршрутизация в OpenVPN

    Scheduled Pinned Locked Moved
    Russian
    4
    15
    656
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      pigbrother @Konstanti
      last edited by

      @konstanti said in Маршрутизация в OpenVPN:

      если VTI , то просто прописать статические маршруты

      В случае VTI где нужно писать правила (если они нужны)
      в Firewall-Rules-IPsec или на интерфейсах ipsecXXXX?
      Нужно ли при отсутствии запретов правило вида
      Pv4 * * * * * * none в Firewall-Rules-IPsec?

      K 1 Reply Last reply Reply Quote 0
      • K
        Konstanti @pigbrother
        last edited by Konstanti

        @pigbrother
        Хмм , только сегодня об этом читал
        в документации написано , мол, пишите правила на закладке IPSEC

        Routed IPsec Firewall Rules
        Routed IPsec traffic appears to the OS on both the specific IPsec interface and the enc0 interface, which is governed by the rules on the IPsec tab. Though a tab appears for the assigned interface, traffic must be passed on the IPsec tab.

        Вот только сейчас с англоговорящим коллегой в соседней ветке пытаемся настроить ему VTI и сталкиваемся с проблемами . VTI я один раз настроил на стенде и больше к этому не возвращался . Не готов .
        Один вывод следует - эксперементируя с правилами VTI удаленно будь готов потерять доступ к WebGUI . Всегда нужен план B.

        P R 2 Replies Last reply Reply Quote 0
        • P
          pigbrother @Konstanti
          last edited by pigbrother

          Спасибо за ответ

          @konstanti said in Маршрутизация в OpenVPN:

          Один вывод следует - эксперементируя с правилами VTI удаленно будь готов потерять доступ к WebGUI . Всегда нужен план B.

          Это относится к любой удаленной настройке роутера\файрволла. У Микротк, например, есть фича - администрирование в Safe-режиме. Любой обрыв отменяет все изменения.

          У меня на IPsec висит очень важный туннель с б-гмерзким Kerio, на нем, естественно, эксперементировать не буду.

          1 Reply Last reply Reply Quote 0
          • R
            rodley @Konstanti
            last edited by

            @konstanti said in Маршрутизация в OpenVPN:

            @pigbrother
            Хмм , только сегодня об этом читал
            в документации написано , мол, пишите правила на закладке IPSEC

            Routed IPsec Firewall Rules
            Routed IPsec traffic appears to the OS on both the specific IPsec interface and the enc0 interface, which is governed by the rules on the IPsec tab. Though a tab appears for the assigned interface, traffic must be passed on the IPsec tab.

            Вот только сейчас с англоговорящим коллегой в соседней ветке пытаемся настроить ему VTI и сталкиваемся с проблемами . VTI я один раз настроил на стенде и больше к этому не возвращался . Не готов .
            Один вывод следует - эксперементируя с правилами VTI удаленно будь готов потерять доступ к WebGUI . Всегда нужен план B.

            Ну у меня проблема именно в маршрутизации трафика с openvpn. И там у меня обычный IPSec. А потерять доступ нельзя, до роутера 6 часов лёту :)

            P 1 Reply Last reply Reply Quote 0
            • P
              pigbrother @rodley
              last edited by

              @rodley said in Маршрутизация в OpenVPN:

              А потерять доступ нельзя, до роутера 6 часов лёту :)

              Тогда либо резервный канал с доступом к чему-то типа Тимвьювер, а плюс к этому желателен относительно квалифицированный помощник на удаленной площадке.

              K 1 Reply Last reply Reply Quote 0
              • K
                Konstanti @pigbrother
                last edited by Konstanti

                @pigbrother SSH всегда есть на нестандартном порту)))) . Или Openvpn настроенный

                P 1 Reply Last reply Reply Quote 0
                • P
                  pigbrother @Konstanti
                  last edited by

                  @konstanti said in Маршрутизация в OpenVPN:

                  SSH всегда есть на нестандартном порту)))) . Или Openvpn настроен ,

                  Запасной канал у меня есть. )))
                  Один раз меня подвел конкретно PF. Удаленно создавал L2TP. В PF был (есть?) баг - при привязке L2TP к физическому интерфейсу PF может уйти в циклический ребут.

                  K 1 Reply Last reply Reply Quote 0
                  • K
                    Konstanti @pigbrother
                    last edited by

                    @pigbrother Не знаю , не слышал про такое .
                    Вот почему все-таки многие админы старой закалки предпочитают интерфейс командной строки , когда сами контролируют , что и как загружается. Т е настроил тот же mpd в связке с Freebsd , не прописывая в автозагрузку , проверил , потерстировал . Бац , и в продакшн )))

                    P 1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by werter

                      Добрый.

                      @rodley

                      Между ними поднят IPSec тоннель.

                      Чем обусловлен выбор ipsec ? Я к тому, что Openvpn и гибче и удобнее в управлении и умеет аппаратно AES.

                      У меня на IPsec висит очень важный туннель с б-гмерзким Kerio, на нем, естественно, эксперементировать не буду.

                      И на др. конце тоже это "чудо" ? Или в Керио изобрели собственный сетевой протокол и уйти от него никак нельзя?

                      P 1 Reply Last reply Reply Quote 0
                      • P
                        pigbrother @werter
                        last edited by pigbrother

                        @werter said in Маршрутизация в OpenVPN:

                        И на др. конце тоже это "чудо" ? Или в Керио изобрели собственный сетевой протокол и уйти от него никак нельзя?

                        Мы с вами это уже обсуждали 3 года назад. Напомню ваш совет:

                        Все же обдумайте предложение встретить "повелителя" Керио вечером после работы эээ… не с букетом цветов ::)

                        *Добрым словом и кольтом можно добиться гораздо большего, чем только добрым словом" (Аль Капоне)*

                        Один конец - наш PF. С другой Керио самостоятельной компании. У них своя политика, свои взгляды на IT. С нашей стороны влияние на них невозможно.

                        Хорошо еще, что Керио стал(о) (довольно давно, будем честными) поддерживать стандартный ipsec. Я, кстати, тут отписывался как настроить связку c PF, инфы в сети было на удивление мало.

                        1 Reply Last reply Reply Quote 0
                        • P
                          pigbrother @Konstanti
                          last edited by pigbrother

                          @konstanti said in Маршрутизация в OpenVPN:

                          Не знаю , не слышал про такое .

                          Ошибка очень похожа на эту:
                          https://redmine.pfsense.org/issues/4510

                          https://forum.netgate.com/topic/84218/%D0%BD%D0%B5-%D0%B7%D0%B0%D0%BF%D1%83%D1%81%D0%BA%D0%B0%D0%B5%D1%82%D1%81%D1%8F-pfsense-%D0%B8%D0%B7-%D0%B7%D0%B0-%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B8-%D0%B2-%D0%BA%D0%BE%D0%BD%D1%84%D0%B8%D0%B3%D0%B5

                          По второй ссылке как раз практически мой случай.

                          Используя идею по этой же ссылке наколхозил быстрый способ восстановления незагружаемой PF из single user mode

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.