Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Разрешить трафик между OpenVpn, IpSec и локальной сетью

    Scheduled Pinned Locked Moved Russian
    105 Posts 4 Posters 20.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dimm56
      last edited by

      А может надо этот файлик? /var/etc/ipsec/ipsec.conf
      В /var/etc/ipsec/strongswan.conf ничего такого интересного нет)))

      K 1 Reply Last reply Reply Quote 0
      • D
        dimm56
        last edited by

        Содержимое /var/etc/ipsec/strongswan.conf

        Automatically generated config file - DO NOT MODIFY. Changes will be overwritten.

        starter {
        load_warning = no
        config_file = /var/etc/ipsec/ipsec.conf
        }

        charon {

        number of worker threads in charon

        threads = 16
        ikesa_table_size = 32
        ikesa_table_segments = 4
        init_limit_half_open = 1000
        install_routes = no
        load_modular = yes
        ignore_acquire_ts = yes
        
        
        cisco_unity = no
        
        
        
        syslog {
        	identifier = charon
        	# log everything under daemon since it ends up in the same place regardless with our syslog.conf
        	daemon {
        		ike_name = yes
        		dmn = 1
        		mgr = 1
        		ike = 2
        		chd = 2
        		job = 1
        		cfg = 2
        		knl = 1
        		net = 1
        		asn = 1
        		enc = 1
        		imc = 1
        		imv = 1
        		pts = 1
        		tls = 1
        		esp = 1
        		lib = 1
        
        	}
        	# disable logging under auth so logs aren't duplicated
        	auth {
        		default = -1
        	}
        }
        
        plugins {
        	# Load defaults
        	include /var/etc/ipsec/strongswan.d/charon/*.conf
        
        	stroke {
        		secrets_file = /var/etc/ipsec/ipsec.secrets
        	}
        
        	unity {
        		load = no
        	}
        
        }
        

        }

        1 Reply Last reply Reply Quote 0
        • K
          Konstanti @dimm56
          last edited by

          @dimm56 Нет , мне нужен именно файл strongswan.conf
          Создаете соединение ( фаза 1 + фаза 2 ) - сохраняете и показываете файл
          и мне очень желательно на почту прислать тот файл , который вам оставил предыдущий админ (или это Ваш файл , не знаю)

          D 2 Replies Last reply Reply Quote 0
          • D
            dimm56 @Konstanti
            last edited by

            @Konstanti

            Automatically generated config file - DO NOT MODIFY. Changes will be overwritten.

            starter {
            load_warning = no
            config_file = /var/etc/ipsec/ipsec.conf
            }

            charon {

            number of worker threads in charon

            threads = 16
            ikesa_table_size = 32
            ikesa_table_segments = 4
            init_limit_half_open = 1000
            install_routes = no
            load_modular = yes
            ignore_acquire_ts = yes
            
            
            cisco_unity = no
            
            
            
            syslog {
            	identifier = charon
            	# log everything under daemon since it ends up in the same place regardless with our syslog.conf
            	daemon {
            		ike_name = yes
            		dmn = 1
            		mgr = 1
            		ike = 2
            		chd = 2
            		job = 1
            		cfg = 2
            		knl = 1
            		net = 1
            		asn = 1
            		enc = 1
            		imc = 1
            		imv = 1
            		pts = 1
            		tls = 1
            		esp = 1
            		lib = 1
            
            	}
            	# disable logging under auth so logs aren't duplicated
            	auth {
            		default = -1
            	}
            }
            
            plugins {
            	# Load defaults
            	include /var/etc/ipsec/strongswan.d/charon/*.conf
            
            	stroke {
            		secrets_file = /var/etc/ipsec/ipsec.secrets
            	}
            
            	unity {
            		load = no
            	}
            
            }
            

            }

            K 1 Reply Last reply Reply Quote 0
            • K
              Konstanti @dimm56
              last edited by

              @dimm56 прошу прощения
              ipsec.conf

              1 Reply Last reply Reply Quote 0
              • D
                dimm56 @Konstanti
                last edited by

                This file is automatically generated. Do not edit

                config setup
                uniqueids = yes

                conn bypasslan
                leftsubnet = 192.168.6.0/24
                rightsubnet = 192.168.6.0/24
                authby = never
                type = passthrough
                auto = route

                conn con1000
                fragmentation = yes
                keyexchange = ikev2
                reauth = yes
                forceencaps = no
                mobike = no

                rekey = yes
                installpolicy = yes
                type = tunnel
                dpdaction = restart
                dpddelay = 10s
                dpdtimeout = 60s
                auto = route
                left = 95.105.115.197
                right = 
                leftid = 95.105.115.197
                ikelifetime = 3600s
                lifetime = 3600s
                ike = aes128-sha256-modp1024!
                esp = aes128-sha256!
                leftauth = psk
                rightauth = psk
                rightsubnet = 10.0.44.1
                leftsubnet = 192.168.6.0/24
                
                K 1 Reply Last reply Reply Quote 0
                • K
                  Konstanti @dimm56
                  last edited by Konstanti

                  @dimm56 said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

                  l

                  1 Не вижу right = %any
                  2 rightsubnet - ошибка , скорее всего 10.0.44.0/24 должно быть так
                  3 посмотрите Ваш файл (параметры leftid,rightid)
                  4 auto = add ( должно быть так)

                  D 1 Reply Last reply Reply Quote 0
                  • D
                    dimm56
                    last edited by

                    вот кусок старого конфига:

                    ipsec.conf - strongSwan IPsec configuration file

                    basic configuration

                    config setup

                    strictcrlpolicy=yes

                    uniqueids = no

                    Add connections here.

                    conn %default

                    type=tunnel

                    ikelifetime=60m

                    keylife=20m

                    rekeymargin=3m

                    keyingtries=1

                    keyexchange=ikev2

                    leftauth=psk

                    dpdaction=clear

                    dpddelay=300s

                    leftid=vpnserver1@jelen.tzb

                    auto=add
                    rightdns=8.8.8.8

                    left=192.168.6.3

                    leftsubnet=0.0.0.0/0

                    right=%any

                    conn stanislavskogo # Магазин. Станиславского. Для роутера Zyxel Keenetic Lite III. Можно использовать как шаблон.
                    rightauth=psk
                    rightid=stanislavskogo@video.jelen.tzb
                    rightsubnet=10.0.2.0/24

                    conn tzb
                    rightauth=psk
                    rightid=tzb@video.jelen.tzb

                    rightsubnet=10.0.1.0/24

                    conn vasnecova
                    rightauth=psk
                    rightid=vasnecova@video.jelen.tzb

                    rightsubnet=10.0.9.0/24

                    conn luch
                    rightauth=psk
                    rightid=luch@video.jelen.tzb

                    rightsubnet=10.0.15.0/24

                    conn apteka
                    rightauth=psk
                    rightid=apteka@video.jelen.tzb

                    rightsubnet=10.0.10.0/24

                    conn ryabina
                    rightauth=psk
                    rightid=ryabina@video.jelen.tzb

                    K 1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @dimm56
                      last edited by Konstanti

                      @dimm56
                      Вот и сравните Ваши
                      right, leftid,rightid,auto,leftsubnet с такими же настройками в файле
                      Напишите Ваш е-мейл
                      я пришлю свое видение настроек , часа через 2

                      1 Reply Last reply Reply Quote 0
                      • D
                        dimm56 @Konstanti
                        last edited by

                        @Konstanti said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

                        1 Не вижу right = %any
                        2 rightsubnet - ошибка , скорее всего 10.0.44.0/24 должно быть так
                        3 посмотрите Ваш файл (параметры leftid,rightid)
                        4 auto = add ( должно быть так)

                        1. Скорее всего он тут должен был появиться после того как мы изменили содержимое /etc/inc/vpn.inc. Правильно?

                        2. Да поправил.

                        3. leftid=vpnserver1@jelen.tzb т.е. email. pfsense не дает выбрать e-mail идентификатором, поэтому оставил, то что есть. Тем более что на модеме идентификатор удаленного шлюза стоит - любой.

                        4. Как это сделать? Где это auto прячется))))

                        1 Reply Last reply Reply Quote 0
                        • D
                          dimm56
                          last edited by

                          shibanov@mail.ru

                          K 1 Reply Last reply Reply Quote 0
                          • K
                            Konstanti @dimm56
                            last edited by

                            @dimm56 все пришлю, поясню
                            Какая у Вас версия pf?

                            1 Reply Last reply Reply Quote 0
                            • D
                              dimm56
                              last edited by

                              2.4.4-RELEASE-p1 (amd64)

                              K 1 Reply Last reply Reply Quote 0
                              • K
                                Konstanti @dimm56
                                last edited by

                                @dimm56 На почте
                                с файлом vpn.inc

                                1 Reply Last reply Reply Quote 0
                                • D
                                  dimm56
                                  last edited by

                                  Вообщем файлик заменил. все прошло гладко. "any" теперь прописывается в файле конфигурации.
                                  Создал одну точку. Ф1 и Ф2. Как рекомендовали.
                                  В целом добился максимального сходства умершего конфига с действующим. И вот что получилось...
                                  555.png

                                  Такое чувство, что все точки теперь пытаются через этот тоннель подключиться)))
                                  Вроде бы и радоваться надо, но монитор говорить что тоннель не активен. Пинги в него не проходят...

                                  помогайте, в голове вообще каша после всего этого....

                                  K 2 Replies Last reply Reply Quote 0
                                  • K
                                    Konstanti @dimm56
                                    last edited by Konstanti

                                    @dimm56 Попробуйте Правило создать на IPSEC интерфейсе ( разрешить все)
                                    И откуда и куда пинги не ходят ??

                                    bdf1fdb1-2b22-459f-b457-fe0d087a1253-image.png

                                    1 Reply Last reply Reply Quote 0
                                    • K
                                      Konstanti @dimm56
                                      last edited by Konstanti

                                      @dimm56
                                      Покажите полностью картинку /status/ipsec
                                      Здесь не видно , поднялась фаза 2 или нет ? (пока меня интересует только та , точка про которую говорили - станиславского)

                                      1 Reply Last reply Reply Quote 0
                                      • D
                                        dimm56
                                        last edited by

                                        А скажите мне пожалуйста надо создавать данные в разделе "Предварительно созданные ключи"? А то я там наделал все свои точки... Может быть это и не надо было делать...

                                        K 1 Reply Last reply Reply Quote 0
                                        • K
                                          Konstanti @dimm56
                                          last edited by

                                          @dimm56 Не знаю , что Вы сделали и зачем
                                          я рекомендовал начать настройку с одной точки
                                          покажите мне полностью картинку с /status/ipsec ( полностью по ширине ,я не вижу 2 полей и не вижу , поднялась ли фаза 2 или нет )

                                          1 Reply Last reply Reply Quote 0
                                          • D
                                            dimm56
                                            last edited by

                                            в данный момент все выглядит вот так

                                            002.png
                                            001.png

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.