Как разрешить трафик трафик между несколькими тоннелями IPSec?

Konstanti

@dimm56
Тогда и настраиваете туннель так , как нужно для работы
попробуйте для начала указать 0.0.0.0/0 и посмотрите , что будет
Весь трафик пойдет в туннель только на время подключения

dimm56

Попробовал. Не пошло. Никуда на подключаемся... Ни Лан 192.168.6.0 ни ipsec 10.0.0.0....

Konstanti

@dimm56 Такие тексты надо сопровождать картинками настроек фазы 2 мобильного клиента . Покажите , как настраиваете

dimm56

Всем привет. извиняюсь за отсутствие, производственная необходимость...

по порядку
Настройка мобильных клиентов
Мобильные клиенты.png
Фаза 1 Мобильных клиентов:
Фаза 1 мобильные.png
Фаза 2 Мобильных клиентов:
Фаза 2 моильные.png
Т.е. при подключении получают адрес из сети 10,0,200,0 и смотрят в сети 0,0,0,0
На примере одного тоннеля, он имеет 2 записи фазы 2:
Тоннель 2 фазы.png
Первая ведет в локальную сеть 192.168.6.0
Тоннель Ф2 1 запись.png
Вторая в тоннель мобильных клиентов 10.0.200.0 через локальную сеть 192.168.6.0
Тоннель Ф2 2 запись.png
Притакой конфигурации из тоннеля 10.0.200.0 не видно ничего, но если поменять сеть 0.0.0.0 на локальную 192.168.6.0, то тогда есть доступ к ресурсам локальной сети.

Konstanti

@dimm56 Вам бы теорию потянуть. Я Вам как советовал сделать? И по ссылке из доков.
Напоминаю,
0.0.0.0/0
А у Вас??

dimm56

С теорией согласен и не отрицаю... Простите за невнимательность...
Спешу лишь по тому что сверху напрягают, помогите заставить это все работать и я спокойно и с удовольствием сяду учить мат. часть)))) Сейчас переделаю

Konstanti

@dimm56 я же написал как надо.
0.0.0.0/0 это для моб клиентов
В настройках бинат тоже ошибка

dimm56

что изменить? где накосячил?) 0 вместо 24?

Konstanti

@dimm56 в бинате да.

dimm56

Исправил.
вкновкеноывкоке.png

Konstanti

@dimm56 у мобильных клиентов ошибку исправьте в маске и все должно заработать

dimm56

Исправил
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!.png

Konstanti

@dimm56 теперь все верно

dimm56

нет соединения.... видим только локальную сеть...

dimm56

При соединении в локалку "Диагностика-состояния - ipSEc" пишет:
IPsec tcp 10.0.200.1:49849 -> 192.168.6.27:80 FIN_WAIT_2:FIN_WAIT_2 4 / 2 180 B / 92 B
IPsec tcp 10.0.200.1:49851 -> 192.168.6.27:80 ESTABLISHED:ESTABLISHED 42 / 41
все соединяется

А вот записей типа 10.0.200.1 -> 10.0.43.2 нигде не видно....

Konstanti

@dimm56 используйте tcpdump на enc0 интерфейсе (CLI) или packet capture на ipsec интерфейсе (WEBGUI)
Т е , в теории , Вы должны видеть картину
10.0.200.1->10.0.43.2
192.168.6.x ->10.0.43.2
10.0.43.2->192.168.6.x
10.0.43.2->10.0.200.1
из этого можно будет понять , где теряются пакеты

dimm56

Запустил "диагностика - захват пакетов" интерфейс ipsec, помимо регистрации моего входа в pfsense есть и такое:
21:12:21.521275 (authentic,confidential): SPI 0xc2c82f5e: IP 10.0.200.1.45020 > 192.168.6.27.6036: tcp 24
21:12:21.536430 (authentic,confidential): SPI 0xc2c82f5e: IP 10.0.200.1.46370 > 10.0.43.2.80: tcp 0
В локалку и обратно идут пакеты.
В тоннель нет и обратно нет....
По крайней мере, получается, что они хотя бы тоннели знают друг о друге)))

Konstanti

@dimm56 Похоже , что этот вариант не работает в такой конфигурации
Но работает вариант со второй фазой2 с обеих сторон туннеля

dimm56

Печально.... Второй записи Ф2 на модеме сделать, к сожалению, не получиться....

dimm56

Вот такую ещё статью нашел:
https://forum.netgate.com/topic/79016/route-traffic-between-ipsec-vpn-sites/4
Завтра попробую вникнуть и попробовать.