Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Разрешить трафик между OpenVpn, IpSec и локальной сетью

    Scheduled Pinned Locked Moved Russian
    105 Posts 4 Posters 20.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dimm56
      last edited by

      Спасибо за ценные советы. Я учту все это в своей работе. Что есть сегодня: 1. Модемы keenetic надо обновлять или отключать обновления, если все уже и так работает стабильно. Кропотливо перебирая их настройки увидел желающих поставить обновления) и, о чудо, после обновления ещё пару тоннелей поднялись сами, хотя может просто помогла сама перезагрузка. 2. Модемы kennetic не очень любят изменения уже созданных vpn соединений без полной перезагрузки. Обновление и авто перезагрузка модема заставило поднять ещё пару каналов). Остальные каналы добил руками, просто удаляя и создавая подключения заново. На сегодняшний день остался только один тоннель который не хочет подниматься, но думаю и это решу. 3. Всегда и везде включайте правило проверки дохлых пиров, особенно на мобильных сетях и когда нет статики т.е. нет возможности попасть в модем при не работающем тоннеле, что бы модемы всегда старались восстановить подключение ( так я потерял один удаленный туннель на 4G канале и мне придется просить людей с ноутбуком ехать туда и дать мне доступ для его донастройки((((). 4. Модемы kennetic дают возможность создания бесплатных ddns адресов! Это первое что надо сделать при подключении к модему!! Тогда у вас всегда будет гарантированный резервный канал для связи. Плюс к этому очень интересно попробовать проглотил ли pfsense в поле "удаленный шлюз" Фаза 1 в качестве адреса ddns имя, а не чистый ip адрес. 5. Pfsense, keenetic - все используют strongswan, а значит, продолжая идею просто берём strongswan client for android и просто заставляем работать все это вместе))) apple клиенты и так имеют качественный встроенный vpn клиент, им ставить ничего не надо. Красота))) А openvpn будем использовать лишь для того, что бы дать доступ по rdp к 1С серверу. Получается тоже классно. Ipsec и openvpn каналы не связанный друг с другом и каждый получает что хочет. Безопасники свою сеть видеонаблюдения. Простые смертные пользователи))) доступ к 1С. План на выходные настройка мобильных android клиентов и уже окончательно решение данного вопроса.

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by werter

        @dimm56
        Роутеры zyxel keenetic умеет прошивку PADAVAN, к-ая расширяет возможности (появл-ся openvpn и т.д.). Форум 4pda в помощь.

        Ps. Классные dyndns:
        https://freemyip.com/
        http://www.duckdns.org/

        На своем пф пользую ТРИ ddns-сервиса. На случай ,если какой-то из них "сдохнет". Openvpn на клиентах прекрасно умеет пользовать неск-ко имен сервера.

        1 Reply Last reply Reply Quote 0
        • D
          dimm56
          last edited by dimm56

          У нас keenetic lite 3. Тему же есть встроенный ovpn клиент. Да и встроенный в них ddns тоже хорошо работает. В качестве резервного канал у меня статика на адресе))) да и pf на статике висит. Со щвязь проблем нет, а вот настройка - да. Сейчас затык заставить работать без стороннего по на устройствах мобильные тоннели.
          Вот рекомендации самого производителя: https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/configuring-an-ipsec-remote-access-mobile-vpn-using-ikev1-xauth.html
          Настаиваю, настраиваю, а мой андроид подключаться все не хочет.... Печалька...

          werterW K P 3 Replies Last reply Reply Quote 0
          • werterW
            werter @dimm56
            last edited by

            @dimm56
            https://bitbucket.org/padavan/rt-n56u/wiki/RU/Часто%20задаваемые%20вопросы#markdown-header-padavan

            эта прошивка уже использовала аппаратный offload для UDP WAN-трафика и Wi-Fi-трафика

            Стандартная это умеет?

            1 Reply Last reply Reply Quote 0
            • D
              dimm56
              last edited by

              Честно скажу, не до конца понимаю о чем речь))) поэтому точно сказать не могу)

              1 Reply Last reply Reply Quote 0
              • K
                Konstanti @dimm56
                last edited by

                @dimm56 не мучайтесь, поставьте strongswan VPN client для Android. Прекрасно работает в связке с pf

                1 Reply Last reply Reply Quote 0
                • D
                  dimm56
                  last edited by

                  Я пытался))) видимо и тут туплю. Насколько я понял клиент не поддерживает psk авторизацию. Только rsa. Настраивал тоннель на rsa и клиента на rsa - не заработало. Бросил до завтра, надо отдыхать хоть иногда))) если есть возможность помощь с настройкамм - буду рад. Тем более что ещё надо apple клиентов подключить. Вообще куча мелких не решённых задач...

                  K 1 Reply Last reply Reply Quote 0
                  • K
                    Konstanti @dimm56
                    last edited by Konstanti

                    @dimm56 этот клиент работает только с ikev2, и psk, возможно, не поддерживает. Для использования rsa нужно быть уверенным, что обе точки умеют фрагментировать пакеты и собирать их обратно. Иначе, может быть возможной ситуация, когда сертификат передать не сможете в одном сообщении. После небольшой модификации у меня pf поддерживает ecdsa вместо rsa и авторизация по сертификатам проходит 'на ура'. И ios и Android и Mac OS и сторонние маршрутизаторы

                    1 Reply Last reply Reply Quote 0
                    • D
                      dimm56
                      last edited by

                      Я почему упёрся в универсальную настройку psk+xaut, т.к. по завершению производителя pfsesne это многократно протестированно и одинаково хорошо работает на android и ios. Даже ставит ничего не надо все настраивается стандартными средствами. А сейчас получается ios умеет сама тоннель поднять - это хорошо, а на Андроид приходится ovpn ставить и решать проблему как его в ipsec сети пустить.... Ставить клиент стронгсван, значит переходить на авторизацию по сертификатам, т к. Psk он не поддерживает. Как ни крути, самый универсальный вариант дожимать и заставлять работать psk+xaut))) модно будет все устройства одинаково настраивать в перспективе.

                      1 Reply Last reply Reply Quote 0
                      • P
                        pigbrother @dimm56
                        last edited by

                        @dimm56 said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

                        нас keenetic lite 3. Тему же есть встроенный ovpn клиент.

                        @dimm56 said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

                        Тем более что ещё надо apple клиентов подключить.

                        Все же посмотрите в сторону Open VPN, Клиенты есть для всего.
                        Получите гибкость маршрутизации, простоту настроек - просто импорт конфига в болшинстве случаев и т.д.

                        1 Reply Last reply Reply Quote 0
                        • D
                          dimm56
                          last edited by

                          Работаю с тем, что досталось по наследству. Переход на ovpn потрбудет перенастройки всего, а это считай что заново создать всю систему. А это 22 точки подключения, 3 мобильных клиента и куча видеорегистраторов в тоннелях. Одна только смена ip адресов у всех устройств - большой и кропотливый труд. А на данным момент, все что мне осталось - заставить работать мобильных клиентов и все! Дальше уже в руках есть готовая система с алгоритмом настройки, что очень важно т.к. количество точек со временем будет увеличиваться и мне надо будет их быстро качественно подключать. Это работа не просто что все заработало, делаю всё для того, что бы облегчить себе работу в будущем)))

                          K 1 Reply Last reply Reply Quote 0
                          • K
                            Konstanti @dimm56
                            last edited by Konstanti

                            @dimm56
                            Зря Вы так
                            Нет ничего лучше чем связка из По одного производителя
                            Тут как раз и получается Strongswan-Strongswan

                            Вот ограничения клиента Strongswan, которые надо учесть , и все прекрасно соединяется . Вы можете использовать аутентификацию EAP-MSCHAPv2 для подключения

                            Known Limitations/Issues
                            Only IKEv2 is supported
                            Client authentication is limited to:
                            EAP authentication based on username/password (EAP-MSCHAPv2, EAP-MD5, EAP-GTC)
                            RSA/ECDSA authentication with private key/certificate
                            EAP-TLS with private key/certificate (see 1.4.5 for limitations)
                            The server always has to be authenticated with RSA/ECDSA (even when using EAP-TLS, see 1.4.5)
                            PSK authentication is not supported, as it is potentially very dangerous because the client might send the hash of a weak password to a rogue VPN server. Thus we prefer EAP authentication where the server is first authenticated with a certificate and only afterwards the client uses its password.

                            1 Reply Last reply Reply Quote 0
                            • D
                              dimm56
                              last edited by dimm56

                              Это будет правильно? Создал еще один обычный тоннель.
                              Фаза 1
                              dimm1.png

                              Фаза 2
                              dimm2.png

                              Уже вижу что нет.... Мой сертификат это сервер, а не пользователь. Сейчас поправлю...

                              K 1 Reply Last reply Reply Quote 0
                              • K
                                Konstanti @dimm56
                                last edited by Konstanti

                                @dimm56 Не знаю , что Вы настраиваете , но
                                повторюсь , что при использования Mutual RSA могут быть неожиданные проблемы , связанные с тем , что при установлении фазы1 некорректно будут/будет передан/ переданы сертификат/сертификаты (связано это с тем что размер данных больше чем размер MTU и сообщения надо фрагментировать ) . Это надо учитывать . Я бы лично при создании туннеля Сеть-Сеть использовал Mutual PSK (Хотя сам использую ECDSA вместо RSA)

                                1 Reply Last reply Reply Quote 0
                                • D
                                  dimm56
                                  last edited by

                                  Сеть-сеть, т.е. сервер-модем у нас на PSK и построены. Может я просто логики не могу понять опять)))
                                  Мобильных клиентов запускаем через "Мобильный клиент".
                                  Вот этот документ говорит о том, что можно настроить pfsense так, что бы все работало без применения доп ПО:
                                  https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/configuring-an-ipsec-remote-access-mobile-vpn-using-ikev1-xauth.html
                                  Видимо это значит что все устройства можно настроить по ключу PSK и паре логин/пароль стандартными, встроенными в ОС средствами. Вот этого наверное в итоге и хочу добиться - универсальной настройки для всех мобильных устройств.

                                  K 1 Reply Last reply Reply Quote 0
                                  • K
                                    Konstanti @dimm56
                                    last edited by Konstanti

                                    @dimm56
                                    Что Вы понимаете под термином "мобильные устройства" ?
                                    То что у Вас на картинках , это соединение Сеть-Сеть
                                    То что по ссылке - это настройка удаленных клиентов ( так называемых,Road-Warrors)

                                    IPsec Road-Warrior
                                    Road Warriors are remote users who need secure access to the companies infrastructure. IPsec Mobile Clients offer a solution that is easy to setup with macOS (native) and is know to work with iOS as well as many Android devices.

                                    1 Reply Last reply Reply Quote 0
                                    • D
                                      dimm56
                                      last edited by

                                      Вот, я опять путаюсь в терминах и понятиях))) Извините, если что.... Поставим задачу точно. 4 смартфона (2 iphone + 2 android). Первоначально iphone для просмотра видео в ipsec каналах были подключены так же через ipsec. А Android устройства через OVPN и каким то, мне неизвестным пока образом, заворачивались в ipsec каналы.
                                      Теперь надо уже на базе pfsense сделать то же самое обеспечить все 4 устройствам доступ к видео в ipsec каналах.
                                      Поэтому и зацепился за это:
                                      https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/configuring-an-ipsec-remote-access-mobile-vpn-using-ikev1-xauth.html
                                      что бы сделать одну универсальную настройку для всех типов мобильных устройств.

                                      1 Reply Last reply Reply Quote 0
                                      • D
                                        dimm56
                                        last edited by dimm56

                                        Я сделал это)))) подключился)))) забыл, лошара, пользователю назначить привелегию подключения по ipsec xaut.
                                        Так... Вопрос а будут теперь тоннели ipsec друг друга видеть или надо еще какие то манипуляции сделать, что бы можно было их видеть...

                                        !!!!!2.png

                                        !!!!!.png

                                        1 Reply Last reply Reply Quote 0
                                        • D
                                          dimm56
                                          last edited by dimm56

                                          Сидя в смартфоне в своем тоннеле 10.0.200.0 попал в регистратор локальной сети 192.168.0.0
                                          А вот в 10.0.2.1 попасть уже не могу.... Как быть? Что делать?

                                          1 Reply Last reply Reply Quote 0
                                          • D
                                            dimm56
                                            last edited by

                                            На сегодня все работает. Все соединения установлены и работаю. Из мобильного тоннеля 10.0.200.0 можно получить доступ к ресурсам локальной сети 192.168.6.0.
                                            Осталось решить вопрос маршрутизации между самими тоннелями....
                                            Тема тут: https://forum.netgate.com/topic/142347/%D0%BA%D0%B0%D0%BA-%D1%80%D0%B0%D0%B7%D1%80%D0%B5%D1%88%D0%B8%D1%82%D1%8C-%D1%82%D1%80%D0%B0%D1%84%D0%B8%D0%BA-%D1%82%D1%80%D0%B0%D1%84%D0%B8%D0%BA-%D0%BC%D0%B5%D0%B6%D0%B4%D1%83-%D0%BD%D0%B5%D1%81%D0%BA%D0%BE%D0%BB%D1%8C%D0%BA%D0%B8%D0%BC%D0%B8-%D1%82%D0%BE%D0%BD%D0%BD%D0%B5%D0%BB%D1%8F%D0%BC%D0%B8-ipsec

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.