Как разрешить трафик трафик между несколькими тоннелями IPSec?
-
При соединении в локалку "Диагностика-состояния - ipSEc" пишет:
IPsec tcp 10.0.200.1:49849 -> 192.168.6.27:80 FIN_WAIT_2:FIN_WAIT_2 4 / 2 180 B / 92 B
IPsec tcp 10.0.200.1:49851 -> 192.168.6.27:80 ESTABLISHED:ESTABLISHED 42 / 41
все соединяетсяА вот записей типа 10.0.200.1 -> 10.0.43.2 нигде не видно....
-
@dimm56 используйте tcpdump на enc0 интерфейсе (CLI) или packet capture на ipsec интерфейсе (WEBGUI)
Т е , в теории , Вы должны видеть картину
10.0.200.1->10.0.43.2
192.168.6.x ->10.0.43.2
10.0.43.2->192.168.6.x
10.0.43.2->10.0.200.1
из этого можно будет понять , где теряются пакеты -
Запустил "диагностика - захват пакетов" интерфейс ipsec, помимо регистрации моего входа в pfsense есть и такое:
21:12:21.521275 (authentic,confidential): SPI 0xc2c82f5e: IP 10.0.200.1.45020 > 192.168.6.27.6036: tcp 24
21:12:21.536430 (authentic,confidential): SPI 0xc2c82f5e: IP 10.0.200.1.46370 > 10.0.43.2.80: tcp 0
В локалку и обратно идут пакеты.
В тоннель нет и обратно нет....
По крайней мере, получается, что они хотя бы тоннели знают друг о друге))) -
@dimm56 Похоже , что этот вариант не работает в такой конфигурации
Но работает вариант со второй фазой2 с обеих сторон туннеля -
Печально.... Второй записи Ф2 на модеме сделать, к сожалению, не получиться....
-
Вот такую ещё статью нашел:
https://forum.netgate.com/topic/79016/route-traffic-between-ipsec-vpn-sites/4
Завтра попробую вникнуть и попробовать. -
@dimm56 сколько всего у Вас хостов в сети 192.168.6.0/24 ???
Попробуйте сделать так
1 мобильные клиенты получают , к примеру , адреса из диапазона 192.168.20.0/24
2 фаза2 со стороны PF - локальная сеть 192.168.0.0/16
- удаленная сеть 10.0.43.0/24
3 фаза2 со стороны модема - зеркальное отображение пункта 2т е всего будет одна фаза 2 на каждый туннель
-
Грубо, на вскидку, штук 60 с принтерами сетевыми и видео регистраторами.
-
@dimm56
Попробуйте то , что я написал выше -
Значит для /24 маска подсети 255.255.255.0?
А для /16 какая тогда будет? В модеме только маску можно указать. -
@dimm56 Тяжело в деревне без нагана
255.255.0.0 -
Не отрицаю факта своей бездарности)
-
@dimm56
У меня на стенде получилось , то что я Вам написал
я с мобильного клиента попал в удаленную сеть через туннель
-
Это просто волшебно!!!! Спасибо Богу, что Вы есть) завтра буду пробовать у себя)))
-
Нусс... Где я опять накосячил?))))
Настройка одного из модемов:
Настройка мобильных клиентов общая, даем сеть 192.168.20.0/24
Фаза 2 мобильных клиентов:
Фаза 2 со стороны Pfsense для выбранного модема:
-
@dimm56 тут
-
понял. пишем 192.168.0.0/16.....
-
@dimm56 Перечитайте внимательно ВСЕ , что я написал вчера !!!!!!!!
-
@Konstanti said in Как разрешить трафик трафик между несколькими тоннелями IPSec?:
Тяжело в деревне без нагана
255.255.0.0https://ru.wikipedia.org/wiki/%D0%91%D0%B5%D1%81%D0%BA%D0%BB%D0%B0%D1%81%D1%81%D0%BE%D0%B2%D0%B0%D1%8F_%D0%B0%D0%B4%D1%80%D0%B5%D1%81%D0%B0%D1%86%D0%B8%D1%8F
https://ipcalc.co
https://ip-calculator.ru/@Konstanti, даже не знаю, чем больше впечатлён - вашей квалификацией или терпением.
-
@pigbrother Тут осталось-то исправить 1 ошибку и все заработает . Надеюсь , что ТС ее уже нашел ....
Причем ошибка та же , которую вчера устраняли днем
Одно могу сказать в защиту ТС , он хотя бы выкладывает скрины настроек , и сразу становится понятным , где проблема .
В других частях форума ( не русскоязычного) очень много постов , мол , помогите , проблема . И вопрос : "Есть идеи ? ". И все.