Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Разрешить трафик между OpenVpn, IpSec и локальной сетью

    Scheduled Pinned Locked Moved Russian
    105 Posts 4 Posters 20.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dimm56
      last edited by

      Добрый вечер! Вообщем жизнь потихоньку налаживается Ipsec туннели работают. Уже хорошо)))
      Вопрос:

      1. Тестовый клиент клиент сети OVPN (10,0,201,4) входит по RDP на сервера локальной сети 192,168,6,0. Можно попасть из OVPN клиента через браузер на сам pfSense 192.168.6.49. НО при попытке из браузера зайти на другие адреса локальной сети 192.168.6.0 получает отказ.
        OVPN1.png
        Правила для OVPN:
        OVPN2.png
        Куда смотреть? Чего я еще не знаю? Что настраивать?)))
      K 1 Reply Last reply Reply Quote 0
      • K
        Konstanti @dimm56
        last edited by

        @dimm56
        Запускаете packet capture и смотрите, почему идёт сброс соединения.
        Дальше, настоятельно рекомендую почитать, как настраивается файрвол. Вы создаёте правила, которые никогда работать не будут

        1 Reply Last reply Reply Quote 0
        • D
          dimm56
          last edited by

          Я понимаю... Степень своей не осведомленности я уже осознал))) но работаю над этим с вашей помощью))) вообщем, что бы решить этот вопрос анализируем данные packet capture и копаемся в правилах настройки фаервола. Правильно?

          K 1 Reply Last reply Reply Quote 0
          • K
            Konstanti @dimm56
            last edited by

            @dimm56 нет, все не так
            Работу файрвола изучает факультативно. Думаю, что тут проблема в другом. Нужен pcap файл для анализа происходящего

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by werter

              @dimm56

              Правило для LAN на OVPN-интерфейсе не рисуется. Оставьте на OVPN только * * * * * , остальные удалите.

              Что у 192.168.6.27 шлюзом? Должен быть лок. адрес пф. У всех в сети 192.168.6.0 должен быть 192.168.6.49. Иначе доступ не получите.
              Плюс у всех в сети 192.168.6.0 должна быть правильная маска (и на пф тоже) (как минимум /24). Иначе доступ не получите.
              И если у вас на 192.168.6.27 веб-сервер - смотрите его настройки. Может там доступ не из локальной сети запрещен. Проверяйте.

              Можно попасть из OVPN клиента через браузер на сам pfSense 192.168.6.49

              Это плохо. В будущем разрешайте досту к вебке пф только избранным.

              1 Reply Last reply Reply Quote 0
              • D
                dimm56
                last edited by

                Спасибо за ценные советы. Я учту все это в своей работе. Что есть сегодня: 1. Модемы keenetic надо обновлять или отключать обновления, если все уже и так работает стабильно. Кропотливо перебирая их настройки увидел желающих поставить обновления) и, о чудо, после обновления ещё пару тоннелей поднялись сами, хотя может просто помогла сама перезагрузка. 2. Модемы kennetic не очень любят изменения уже созданных vpn соединений без полной перезагрузки. Обновление и авто перезагрузка модема заставило поднять ещё пару каналов). Остальные каналы добил руками, просто удаляя и создавая подключения заново. На сегодняшний день остался только один тоннель который не хочет подниматься, но думаю и это решу. 3. Всегда и везде включайте правило проверки дохлых пиров, особенно на мобильных сетях и когда нет статики т.е. нет возможности попасть в модем при не работающем тоннеле, что бы модемы всегда старались восстановить подключение ( так я потерял один удаленный туннель на 4G канале и мне придется просить людей с ноутбуком ехать туда и дать мне доступ для его донастройки((((). 4. Модемы kennetic дают возможность создания бесплатных ddns адресов! Это первое что надо сделать при подключении к модему!! Тогда у вас всегда будет гарантированный резервный канал для связи. Плюс к этому очень интересно попробовать проглотил ли pfsense в поле "удаленный шлюз" Фаза 1 в качестве адреса ddns имя, а не чистый ip адрес. 5. Pfsense, keenetic - все используют strongswan, а значит, продолжая идею просто берём strongswan client for android и просто заставляем работать все это вместе))) apple клиенты и так имеют качественный встроенный vpn клиент, им ставить ничего не надо. Красота))) А openvpn будем использовать лишь для того, что бы дать доступ по rdp к 1С серверу. Получается тоже классно. Ipsec и openvpn каналы не связанный друг с другом и каждый получает что хочет. Безопасники свою сеть видеонаблюдения. Простые смертные пользователи))) доступ к 1С. План на выходные настройка мобильных android клиентов и уже окончательно решение данного вопроса.

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by werter

                  @dimm56
                  Роутеры zyxel keenetic умеет прошивку PADAVAN, к-ая расширяет возможности (появл-ся openvpn и т.д.). Форум 4pda в помощь.

                  Ps. Классные dyndns:
                  https://freemyip.com/
                  http://www.duckdns.org/

                  На своем пф пользую ТРИ ddns-сервиса. На случай ,если какой-то из них "сдохнет". Openvpn на клиентах прекрасно умеет пользовать неск-ко имен сервера.

                  1 Reply Last reply Reply Quote 0
                  • D
                    dimm56
                    last edited by dimm56

                    У нас keenetic lite 3. Тему же есть встроенный ovpn клиент. Да и встроенный в них ddns тоже хорошо работает. В качестве резервного канал у меня статика на адресе))) да и pf на статике висит. Со щвязь проблем нет, а вот настройка - да. Сейчас затык заставить работать без стороннего по на устройствах мобильные тоннели.
                    Вот рекомендации самого производителя: https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/configuring-an-ipsec-remote-access-mobile-vpn-using-ikev1-xauth.html
                    Настаиваю, настраиваю, а мой андроид подключаться все не хочет.... Печалька...

                    werterW K P 3 Replies Last reply Reply Quote 0
                    • werterW
                      werter @dimm56
                      last edited by

                      @dimm56
                      https://bitbucket.org/padavan/rt-n56u/wiki/RU/Часто%20задаваемые%20вопросы#markdown-header-padavan

                      эта прошивка уже использовала аппаратный offload для UDP WAN-трафика и Wi-Fi-трафика

                      Стандартная это умеет?

                      1 Reply Last reply Reply Quote 0
                      • D
                        dimm56
                        last edited by

                        Честно скажу, не до конца понимаю о чем речь))) поэтому точно сказать не могу)

                        1 Reply Last reply Reply Quote 0
                        • K
                          Konstanti @dimm56
                          last edited by

                          @dimm56 не мучайтесь, поставьте strongswan VPN client для Android. Прекрасно работает в связке с pf

                          1 Reply Last reply Reply Quote 0
                          • D
                            dimm56
                            last edited by

                            Я пытался))) видимо и тут туплю. Насколько я понял клиент не поддерживает psk авторизацию. Только rsa. Настраивал тоннель на rsa и клиента на rsa - не заработало. Бросил до завтра, надо отдыхать хоть иногда))) если есть возможность помощь с настройкамм - буду рад. Тем более что ещё надо apple клиентов подключить. Вообще куча мелких не решённых задач...

                            K 1 Reply Last reply Reply Quote 0
                            • K
                              Konstanti @dimm56
                              last edited by Konstanti

                              @dimm56 этот клиент работает только с ikev2, и psk, возможно, не поддерживает. Для использования rsa нужно быть уверенным, что обе точки умеют фрагментировать пакеты и собирать их обратно. Иначе, может быть возможной ситуация, когда сертификат передать не сможете в одном сообщении. После небольшой модификации у меня pf поддерживает ecdsa вместо rsa и авторизация по сертификатам проходит 'на ура'. И ios и Android и Mac OS и сторонние маршрутизаторы

                              1 Reply Last reply Reply Quote 0
                              • D
                                dimm56
                                last edited by

                                Я почему упёрся в универсальную настройку psk+xaut, т.к. по завершению производителя pfsesne это многократно протестированно и одинаково хорошо работает на android и ios. Даже ставит ничего не надо все настраивается стандартными средствами. А сейчас получается ios умеет сама тоннель поднять - это хорошо, а на Андроид приходится ovpn ставить и решать проблему как его в ipsec сети пустить.... Ставить клиент стронгсван, значит переходить на авторизацию по сертификатам, т к. Psk он не поддерживает. Как ни крути, самый универсальный вариант дожимать и заставлять работать psk+xaut))) модно будет все устройства одинаково настраивать в перспективе.

                                1 Reply Last reply Reply Quote 0
                                • P
                                  pigbrother @dimm56
                                  last edited by

                                  @dimm56 said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

                                  нас keenetic lite 3. Тему же есть встроенный ovpn клиент.

                                  @dimm56 said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

                                  Тем более что ещё надо apple клиентов подключить.

                                  Все же посмотрите в сторону Open VPN, Клиенты есть для всего.
                                  Получите гибкость маршрутизации, простоту настроек - просто импорт конфига в болшинстве случаев и т.д.

                                  1 Reply Last reply Reply Quote 0
                                  • D
                                    dimm56
                                    last edited by

                                    Работаю с тем, что досталось по наследству. Переход на ovpn потрбудет перенастройки всего, а это считай что заново создать всю систему. А это 22 точки подключения, 3 мобильных клиента и куча видеорегистраторов в тоннелях. Одна только смена ip адресов у всех устройств - большой и кропотливый труд. А на данным момент, все что мне осталось - заставить работать мобильных клиентов и все! Дальше уже в руках есть готовая система с алгоритмом настройки, что очень важно т.к. количество точек со временем будет увеличиваться и мне надо будет их быстро качественно подключать. Это работа не просто что все заработало, делаю всё для того, что бы облегчить себе работу в будущем)))

                                    K 1 Reply Last reply Reply Quote 0
                                    • K
                                      Konstanti @dimm56
                                      last edited by Konstanti

                                      @dimm56
                                      Зря Вы так
                                      Нет ничего лучше чем связка из По одного производителя
                                      Тут как раз и получается Strongswan-Strongswan

                                      Вот ограничения клиента Strongswan, которые надо учесть , и все прекрасно соединяется . Вы можете использовать аутентификацию EAP-MSCHAPv2 для подключения

                                      Known Limitations/Issues
                                      Only IKEv2 is supported
                                      Client authentication is limited to:
                                      EAP authentication based on username/password (EAP-MSCHAPv2, EAP-MD5, EAP-GTC)
                                      RSA/ECDSA authentication with private key/certificate
                                      EAP-TLS with private key/certificate (see 1.4.5 for limitations)
                                      The server always has to be authenticated with RSA/ECDSA (even when using EAP-TLS, see 1.4.5)
                                      PSK authentication is not supported, as it is potentially very dangerous because the client might send the hash of a weak password to a rogue VPN server. Thus we prefer EAP authentication where the server is first authenticated with a certificate and only afterwards the client uses its password.

                                      1 Reply Last reply Reply Quote 0
                                      • D
                                        dimm56
                                        last edited by dimm56

                                        Это будет правильно? Создал еще один обычный тоннель.
                                        Фаза 1
                                        dimm1.png

                                        Фаза 2
                                        dimm2.png

                                        Уже вижу что нет.... Мой сертификат это сервер, а не пользователь. Сейчас поправлю...

                                        K 1 Reply Last reply Reply Quote 0
                                        • K
                                          Konstanti @dimm56
                                          last edited by Konstanti

                                          @dimm56 Не знаю , что Вы настраиваете , но
                                          повторюсь , что при использования Mutual RSA могут быть неожиданные проблемы , связанные с тем , что при установлении фазы1 некорректно будут/будет передан/ переданы сертификат/сертификаты (связано это с тем что размер данных больше чем размер MTU и сообщения надо фрагментировать ) . Это надо учитывать . Я бы лично при создании туннеля Сеть-Сеть использовал Mutual PSK (Хотя сам использую ECDSA вместо RSA)

                                          1 Reply Last reply Reply Quote 0
                                          • D
                                            dimm56
                                            last edited by

                                            Сеть-сеть, т.е. сервер-модем у нас на PSK и построены. Может я просто логики не могу понять опять)))
                                            Мобильных клиентов запускаем через "Мобильный клиент".
                                            Вот этот документ говорит о том, что можно настроить pfsense так, что бы все работало без применения доп ПО:
                                            https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/configuring-an-ipsec-remote-access-mobile-vpn-using-ikev1-xauth.html
                                            Видимо это значит что все устройства можно настроить по ключу PSK и паре логин/пароль стандартными, встроенными в ОС средствами. Вот этого наверное в итоге и хочу добиться - универсальной настройки для всех мобильных устройств.

                                            K 1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.