Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Разрешить трафик между OpenVpn, IpSec и локальной сетью

    Scheduled Pinned Locked Moved Russian
    105 Posts 4 Posters 20.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Konstanti @pigbrother
      last edited by Konstanti

      @pigbrother said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

      3G\4G

      Так потом-то они же в инет выходят через белый адрес ) А белый адрес в данном случае будет ANY , те любой . Тут я проблем не вижу , потому что по схожей схеме было и создано это решение (и отлаживалось тоже ) Если посмотреть чуть выше , именно это решение использовал администратор для подключения этих модемов к центральному роутеру .

      P 1 Reply Last reply Reply Quote 0
      • P
        pigbrother @Konstanti
        last edited by

        @Konstanti Тогда единственным ограничением будет необходимость работы IPSEC на стороне PF в режиме responder?

        K 1 Reply Last reply Reply Quote 0
        • K
          Konstanti @pigbrother
          last edited by

          @pigbrother Конечно , другого варианта нет .
          Опять же , смотрим файл вверху
          auto = add
          Для тс очень хорошая подсказка , как все должно получиться в итоге

          1 Reply Last reply Reply Quote 0
          • D
            dimm56
            last edited by

            Все привет. Файлик поправил. Пару раз накосячил с синтаксисом))) пару раз переустановил pfSense))) вообщем теперь дает возможность написать any. Что дальше?)))

            K 1 Reply Last reply Reply Quote 0
            • K
              Konstanti @dimm56
              last edited by Konstanti

              @dimm56 а дальше пробуете создать туннель с любым модемом
              в фазе 1 ставите remote gateway any,
              как создадите любое тестовое соединение , покажите тут содержимое файла /var/etc/ipsec/strongswan.conf . Хочу посмотреть , что Вы наваяли
              И еще , пришлите мне на почту Ваш файл strongswan.conf(кусок которого тут был выложен) , со всеми настройками , чтобы я мог Вас направить в нужном направлении.
              И еще - верно я понимаю , что настройки модемов Вы не трогали ?

              1 Reply Last reply Reply Quote 0
              • D
                dimm56
                last edited by

                А может надо этот файлик? /var/etc/ipsec/ipsec.conf
                В /var/etc/ipsec/strongswan.conf ничего такого интересного нет)))

                K 1 Reply Last reply Reply Quote 0
                • D
                  dimm56
                  last edited by

                  Содержимое /var/etc/ipsec/strongswan.conf

                  Automatically generated config file - DO NOT MODIFY. Changes will be overwritten.

                  starter {
                  load_warning = no
                  config_file = /var/etc/ipsec/ipsec.conf
                  }

                  charon {

                  number of worker threads in charon

                  threads = 16
                  ikesa_table_size = 32
                  ikesa_table_segments = 4
                  init_limit_half_open = 1000
                  install_routes = no
                  load_modular = yes
                  ignore_acquire_ts = yes
                  
                  
                  cisco_unity = no
                  
                  
                  
                  syslog {
                  	identifier = charon
                  	# log everything under daemon since it ends up in the same place regardless with our syslog.conf
                  	daemon {
                  		ike_name = yes
                  		dmn = 1
                  		mgr = 1
                  		ike = 2
                  		chd = 2
                  		job = 1
                  		cfg = 2
                  		knl = 1
                  		net = 1
                  		asn = 1
                  		enc = 1
                  		imc = 1
                  		imv = 1
                  		pts = 1
                  		tls = 1
                  		esp = 1
                  		lib = 1
                  
                  	}
                  	# disable logging under auth so logs aren't duplicated
                  	auth {
                  		default = -1
                  	}
                  }
                  
                  plugins {
                  	# Load defaults
                  	include /var/etc/ipsec/strongswan.d/charon/*.conf
                  
                  	stroke {
                  		secrets_file = /var/etc/ipsec/ipsec.secrets
                  	}
                  
                  	unity {
                  		load = no
                  	}
                  
                  }
                  

                  }

                  1 Reply Last reply Reply Quote 0
                  • K
                    Konstanti @dimm56
                    last edited by

                    @dimm56 Нет , мне нужен именно файл strongswan.conf
                    Создаете соединение ( фаза 1 + фаза 2 ) - сохраняете и показываете файл
                    и мне очень желательно на почту прислать тот файл , который вам оставил предыдущий админ (или это Ваш файл , не знаю)

                    D 2 Replies Last reply Reply Quote 0
                    • D
                      dimm56 @Konstanti
                      last edited by

                      @Konstanti

                      Automatically generated config file - DO NOT MODIFY. Changes will be overwritten.

                      starter {
                      load_warning = no
                      config_file = /var/etc/ipsec/ipsec.conf
                      }

                      charon {

                      number of worker threads in charon

                      threads = 16
                      ikesa_table_size = 32
                      ikesa_table_segments = 4
                      init_limit_half_open = 1000
                      install_routes = no
                      load_modular = yes
                      ignore_acquire_ts = yes
                      
                      
                      cisco_unity = no
                      
                      
                      
                      syslog {
                      	identifier = charon
                      	# log everything under daemon since it ends up in the same place regardless with our syslog.conf
                      	daemon {
                      		ike_name = yes
                      		dmn = 1
                      		mgr = 1
                      		ike = 2
                      		chd = 2
                      		job = 1
                      		cfg = 2
                      		knl = 1
                      		net = 1
                      		asn = 1
                      		enc = 1
                      		imc = 1
                      		imv = 1
                      		pts = 1
                      		tls = 1
                      		esp = 1
                      		lib = 1
                      
                      	}
                      	# disable logging under auth so logs aren't duplicated
                      	auth {
                      		default = -1
                      	}
                      }
                      
                      plugins {
                      	# Load defaults
                      	include /var/etc/ipsec/strongswan.d/charon/*.conf
                      
                      	stroke {
                      		secrets_file = /var/etc/ipsec/ipsec.secrets
                      	}
                      
                      	unity {
                      		load = no
                      	}
                      
                      }
                      

                      }

                      K 1 Reply Last reply Reply Quote 0
                      • K
                        Konstanti @dimm56
                        last edited by

                        @dimm56 прошу прощения
                        ipsec.conf

                        1 Reply Last reply Reply Quote 0
                        • D
                          dimm56 @Konstanti
                          last edited by

                          This file is automatically generated. Do not edit

                          config setup
                          uniqueids = yes

                          conn bypasslan
                          leftsubnet = 192.168.6.0/24
                          rightsubnet = 192.168.6.0/24
                          authby = never
                          type = passthrough
                          auto = route

                          conn con1000
                          fragmentation = yes
                          keyexchange = ikev2
                          reauth = yes
                          forceencaps = no
                          mobike = no

                          rekey = yes
                          installpolicy = yes
                          type = tunnel
                          dpdaction = restart
                          dpddelay = 10s
                          dpdtimeout = 60s
                          auto = route
                          left = 95.105.115.197
                          right = 
                          leftid = 95.105.115.197
                          ikelifetime = 3600s
                          lifetime = 3600s
                          ike = aes128-sha256-modp1024!
                          esp = aes128-sha256!
                          leftauth = psk
                          rightauth = psk
                          rightsubnet = 10.0.44.1
                          leftsubnet = 192.168.6.0/24
                          
                          K 1 Reply Last reply Reply Quote 0
                          • K
                            Konstanti @dimm56
                            last edited by Konstanti

                            @dimm56 said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

                            l

                            1 Не вижу right = %any
                            2 rightsubnet - ошибка , скорее всего 10.0.44.0/24 должно быть так
                            3 посмотрите Ваш файл (параметры leftid,rightid)
                            4 auto = add ( должно быть так)

                            D 1 Reply Last reply Reply Quote 0
                            • D
                              dimm56
                              last edited by

                              вот кусок старого конфига:

                              ipsec.conf - strongSwan IPsec configuration file

                              basic configuration

                              config setup

                              strictcrlpolicy=yes

                              uniqueids = no

                              Add connections here.

                              conn %default

                              type=tunnel

                              ikelifetime=60m

                              keylife=20m

                              rekeymargin=3m

                              keyingtries=1

                              keyexchange=ikev2

                              leftauth=psk

                              dpdaction=clear

                              dpddelay=300s

                              leftid=vpnserver1@jelen.tzb

                              auto=add
                              rightdns=8.8.8.8

                              left=192.168.6.3

                              leftsubnet=0.0.0.0/0

                              right=%any

                              conn stanislavskogo # Магазин. Станиславского. Для роутера Zyxel Keenetic Lite III. Можно использовать как шаблон.
                              rightauth=psk
                              rightid=stanislavskogo@video.jelen.tzb
                              rightsubnet=10.0.2.0/24

                              conn tzb
                              rightauth=psk
                              rightid=tzb@video.jelen.tzb

                              rightsubnet=10.0.1.0/24

                              conn vasnecova
                              rightauth=psk
                              rightid=vasnecova@video.jelen.tzb

                              rightsubnet=10.0.9.0/24

                              conn luch
                              rightauth=psk
                              rightid=luch@video.jelen.tzb

                              rightsubnet=10.0.15.0/24

                              conn apteka
                              rightauth=psk
                              rightid=apteka@video.jelen.tzb

                              rightsubnet=10.0.10.0/24

                              conn ryabina
                              rightauth=psk
                              rightid=ryabina@video.jelen.tzb

                              K 1 Reply Last reply Reply Quote 0
                              • K
                                Konstanti @dimm56
                                last edited by Konstanti

                                @dimm56
                                Вот и сравните Ваши
                                right, leftid,rightid,auto,leftsubnet с такими же настройками в файле
                                Напишите Ваш е-мейл
                                я пришлю свое видение настроек , часа через 2

                                1 Reply Last reply Reply Quote 0
                                • D
                                  dimm56 @Konstanti
                                  last edited by

                                  @Konstanti said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

                                  1 Не вижу right = %any
                                  2 rightsubnet - ошибка , скорее всего 10.0.44.0/24 должно быть так
                                  3 посмотрите Ваш файл (параметры leftid,rightid)
                                  4 auto = add ( должно быть так)

                                  1. Скорее всего он тут должен был появиться после того как мы изменили содержимое /etc/inc/vpn.inc. Правильно?

                                  2. Да поправил.

                                  3. leftid=vpnserver1@jelen.tzb т.е. email. pfsense не дает выбрать e-mail идентификатором, поэтому оставил, то что есть. Тем более что на модеме идентификатор удаленного шлюза стоит - любой.

                                  4. Как это сделать? Где это auto прячется))))

                                  1 Reply Last reply Reply Quote 0
                                  • D
                                    dimm56
                                    last edited by

                                    shibanov@mail.ru

                                    K 1 Reply Last reply Reply Quote 0
                                    • K
                                      Konstanti @dimm56
                                      last edited by

                                      @dimm56 все пришлю, поясню
                                      Какая у Вас версия pf?

                                      1 Reply Last reply Reply Quote 0
                                      • D
                                        dimm56
                                        last edited by

                                        2.4.4-RELEASE-p1 (amd64)

                                        K 1 Reply Last reply Reply Quote 0
                                        • K
                                          Konstanti @dimm56
                                          last edited by

                                          @dimm56 На почте
                                          с файлом vpn.inc

                                          1 Reply Last reply Reply Quote 0
                                          • D
                                            dimm56
                                            last edited by

                                            Вообщем файлик заменил. все прошло гладко. "any" теперь прописывается в файле конфигурации.
                                            Создал одну точку. Ф1 и Ф2. Как рекомендовали.
                                            В целом добился максимального сходства умершего конфига с действующим. И вот что получилось...
                                            555.png

                                            Такое чувство, что все точки теперь пытаются через этот тоннель подключиться)))
                                            Вроде бы и радоваться надо, но монитор говорить что тоннель не активен. Пинги в него не проходят...

                                            помогайте, в голове вообще каша после всего этого....

                                            K 2 Replies Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.