Разрешить трафик между OpenVpn, IpSec и локальной сетью

Konstanti

@dimm56 said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

right=%any

Вот оно
right=%any - о чем я писал выше (эта опция как раз в pf и не заложена)

Konstanti

@dimm56
https://forum.netgate.com/topic/140685/4-wan-%D0%B2-1-lan/45

вот тут я писал , как это можно обойти

dimm56

т.е. получается надо просто попасть в файле VPN.inc на pFsense и ручками допилить нужные строчки? Правильно?

Konstanti

@dimm56 верно

dimm56

Огромное человеческое спасибо!!! Был бы ты рядом и руку пожал бы и поляну бы накрыл))) сегодня после работы попробую это дело провернуть. Если что - напишу о результатах тут. Уверен, что все должно получиться.

Konstanti

@dimm56 Рекомендация , прежде чем что-то "допиливать" в pf , сохраняйте оригинальные файлы
Если все сделаете верно , то в настройке фазы 1 сможете указывать в поле Remote Gateway параметр any . Тогда pf создаст корректный для Вашего случая strongswan.conf c параметром right =%any

dimm56

Еще вопрос. путь к этому файлу в pfsense как прописать?

Konstanti

@dimm56 /etc/inc/vpn.inc

pigbrother

@Konstanti said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

то в настройке фазы 1 сможете указывать в поле Remote Gateway параметр any . Тогда pf создаст корректный для Вашего случая strongswan.conf c параметром right =%any

@Konstanti, будет ли эта конструкция работать, если IP удаленной стороны "серый"?

Konstanti

@pigbrother
Должна (будет работать через порт 4500, если я Вас правильно понял)
Я же ничего от себя не добавлял , все есть в strongswan-е изначально . Просто в pf не реализовано. Я этот пробел для себя устранил .

pigbrother

@Konstanti said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

Должна (будет работать через порт 4500, если я Вас правильно понял)

Прошу простить мою невежественность, просто я всегда пребывал в уверенности, что для установки Фазы 1 site-to-site IPSEC нужны "белые" IP-адреса с обеих сторон. У ТС, как я понимаю, со строны Кинетиков 3G\4G, для 3G\4G "белые" IP - большая редкость.

Konstanti

@pigbrother said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

3G\4G

Так потом-то они же в инет выходят через белый адрес ) А белый адрес в данном случае будет ANY , те любой . Тут я проблем не вижу , потому что по схожей схеме было и создано это решение (и отлаживалось тоже ) Если посмотреть чуть выше , именно это решение использовал администратор для подключения этих модемов к центральному роутеру .

pigbrother

@Konstanti Тогда единственным ограничением будет необходимость работы IPSEC на стороне PF в режиме responder?

Konstanti

@pigbrother Конечно , другого варианта нет .
Опять же , смотрим файл вверху
auto = add
Для тс очень хорошая подсказка , как все должно получиться в итоге

dimm56

Все привет. Файлик поправил. Пару раз накосячил с синтаксисом))) пару раз переустановил pfSense))) вообщем теперь дает возможность написать any. Что дальше?)))

Konstanti

@dimm56 а дальше пробуете создать туннель с любым модемом
в фазе 1 ставите remote gateway any,
как создадите любое тестовое соединение , покажите тут содержимое файла /var/etc/ipsec/strongswan.conf . Хочу посмотреть , что Вы наваяли
И еще , пришлите мне на почту Ваш файл strongswan.conf(кусок которого тут был выложен) , со всеми настройками , чтобы я мог Вас направить в нужном направлении.
И еще - верно я понимаю , что настройки модемов Вы не трогали ?

dimm56

А может надо этот файлик? /var/etc/ipsec/ipsec.conf
В /var/etc/ipsec/strongswan.conf ничего такого интересного нет)))

dimm56

Содержимое /var/etc/ipsec/strongswan.conf

Automatically generated config file - DO NOT MODIFY. Changes will be overwritten.

starter {
load_warning = no
config_file = /var/etc/ipsec/ipsec.conf
}

charon {

number of worker threads in charon

threads = 16
ikesa_table_size = 32
ikesa_table_segments = 4
init_limit_half_open = 1000
install_routes = no
load_modular = yes
ignore_acquire_ts = yes


cisco_unity = no



syslog {
	identifier = charon
	# log everything under daemon since it ends up in the same place regardless with our syslog.conf
	daemon {
		ike_name = yes
		dmn = 1
		mgr = 1
		ike = 2
		chd = 2
		job = 1
		cfg = 2
		knl = 1
		net = 1
		asn = 1
		enc = 1
		imc = 1
		imv = 1
		pts = 1
		tls = 1
		esp = 1
		lib = 1

	}
	# disable logging under auth so logs aren't duplicated
	auth {
		default = -1
	}
}

plugins {
	# Load defaults
	include /var/etc/ipsec/strongswan.d/charon/*.conf

	stroke {
		secrets_file = /var/etc/ipsec/ipsec.secrets
	}

	unity {
		load = no
	}

}

}

Konstanti

@dimm56 Нет , мне нужен именно файл strongswan.conf
Создаете соединение ( фаза 1 + фаза 2 ) - сохраняете и показываете файл
и мне очень желательно на почту прислать тот файл , который вам оставил предыдущий админ (или это Ваш файл , не знаю)

dimm56

@Konstanti

Automatically generated config file - DO NOT MODIFY. Changes will be overwritten.

starter {
load_warning = no
config_file = /var/etc/ipsec/ipsec.conf
}

charon {

number of worker threads in charon

threads = 16
ikesa_table_size = 32
ikesa_table_segments = 4
init_limit_half_open = 1000
install_routes = no
load_modular = yes
ignore_acquire_ts = yes


cisco_unity = no



syslog {
	identifier = charon
	# log everything under daemon since it ends up in the same place regardless with our syslog.conf
	daemon {
		ike_name = yes
		dmn = 1
		mgr = 1
		ike = 2
		chd = 2
		job = 1
		cfg = 2
		knl = 1
		net = 1
		asn = 1
		enc = 1
		imc = 1
		imv = 1
		pts = 1
		tls = 1
		esp = 1
		lib = 1

	}
	# disable logging under auth so logs aren't duplicated
	auth {
		default = -1
	}
}

plugins {
	# Load defaults
	include /var/etc/ipsec/strongswan.d/charon/*.conf

	stroke {
		secrets_file = /var/etc/ipsec/ipsec.secrets
	}

	unity {
		load = no
	}

}

}