Падает gateway, который является l2tp клиентом.

werter

@sirota

В чем проблема привычной маршрутизации

ПФ же в полиси роутинг прекрасно умеет

Это и есть привычная и правильная марш-ция. Достаточно только правильных правил fw.

sirota

@Konstanti said in Падает gateway, который является l2tp клиентом.:

@sirota
Журналы надо смотреть
Не падает ли интерфейс

Какой? да может иногда падать клиент, но потом он автоматом реконектится. Сервер? Но почему из дома я всегда могу получить доступ, в то время как на работе (со стороны сервера) такая проблема?

@werter said in Падает gateway, который является l2tp клиентом.:

@sirota

Это и есть привычная и правильная марш-ция. Достаточно только правильных правил fw.

Т.е. мне в исходящих при скажем совпадении подсети назначения ручками указать gateway ? По идее же поднимается такой же маршрут? ПРосто он будет сформирован правилами файрвола. Ну сейчас попробую. Хуже то не будет.

werter

Стоп.
Не надо руками на пф править\добавлять маршруты. Не знаю как с л2тп (могу ошибаться), но с др. типами впн достаточно только правильных правил fw на ЛАН (полиси роутинг в действии же)

но вот обратно бывают проблемы.

Смотрите еще и настройки Микрота.

Зы. Что такое 192.168.2.0 ?

sirota

@werter 192.168.2.0/24 еще одна подсеть дома за тем же микротиком.
Короче выключил static routers, настроил вот так:

В итоге стало вот так:

При всем при этом теперь вот такая приколюха...

В подсети 192.168.2.0/24 пингуются все узлы и работают все сервисы. (пингую из под 192.168.0.0/24 и тут и далее)
А из подсети 192.168.1.0/24 пингуется только 192.168.1.1 (LAN адрес микротика), но к примеру не пингуется 192.168.1.230 на котором крутится synology, но я могу получить к нему доступ... Где-то кто-то рубит ICMP, но точно не микротик. Ибо со static routers все пинговалось. Проверил, ни один ресурс в 192.168.1.0/24 кроме 192.168.1.1 не пингуются. Все ресурсы в 192.168.2.0/24 пингуются...
ps. Тьфу. теперь и 192.168.1.0/24 все пингуется. Ни чего не делал...

sirota

@werter Еще вопросец... Подключаюсь l2tp с андройда к этому же серверу. С андройда пингую все нужные мне подсети, в том числе и домашние, в том числе и устройства в них. Но тем же DS Cam подключится к домашнему серверу не могу:


172.16.16.129 - это андройд.
Но тут же подключаюсь с рабочего ПК. Если отключаю все эти правила и включаю static routers, то все везде становится доступным.
Это что-то с чем-то. И так крутил и эдак. Правила наплодил по всем интерфейсам... Создал во floating правило direction - out ну и т.д., поставил quick галочку и все заработало... Стал искать правила по floating которое могло как-то блокировать эти пакеты и... выключил только созданное правило, а все работает! Reload Filters делал. Reset states делал. Оно все равно работат. Как я не понимаю.

werter

@sirota

На интерфейсе Л2ТП пф-а временно оставьте только правило можно все всем. Поставьте это правило выше всех.

Во Флоатинг рулез НИЧЕГО не создавайте. Без понимания лучше туда не лезть.

Зы. Оффтоп. Что за железо и ПО для видеонаблюдения на скрине ? )

werter

@sirota

Вижу, что ЯВНО создали л2тп-интерфейс (две вкладки с Л2ТП на скрине). Возможно, что это лишнее. Хватило бы имеющегося (просто L2TP на скрине). Или это у вас 2-й ВАН - Л2ТП?

sirota

@werter Короче это бред сивой кобылы если честно (я про поведение pfsense)... Я конечно дико извиняюсь за нубство, но вот я не пойму правила по которому все происходит.
Вот нажал apply я в файрволе. Он пересоздал маршруты, правила их обработки и т.д., существующие соединения естественно он не рубит. Т.е. к примеру если я создам connetc скажем с каким-то внешним ресурсом и его не закроют крайние стороны, то если я создам правило его блокирующее, то соединение не закроется. Так? Ну логично же. Тогда почему созданное сейчас правило вдруг не работает, а через 5 минут работает... Даже с тем учетом что я нажал reload filters. Это трабл ПФ? Я просто не раз с таким сталкивался. Выходит что эти правила не сразу применются? Есть какой-то таймаут?
Вот ни чего не делаю, прошло время. решил проверить на телефоне - не работает... кинулся на компе на работе (192.168.0.228, т.е. от меня до pfsense 20 метров кабеля и я нахожусь в его LAN сети) интереса ради tracert 172.16.16.1 (l2tp интерфейс), и меня куда-то в интернеты понесло! При этом пингую 192.168.1.230 и все норм. Пингуется и там мои сервисы. тут понял что забыл включить l2tp на смартфоне, поднимаю - все норм. Ни чего не делал на pfsense и теперь на компе tracert проходит нормально...
По поводу floating знаю. Но пользуюсь. Каюсь... Без этого ни как не выходит. Часть подсети на работе вообще не должна иметь доступ ни куда кроме ЛВС (есть еще подсеть кроме 192.168.0.0/24, но там проблем нет вообще), часть ЛВС + определенные ресурсы, а часть должна иметь доступ везде. + ко части клиентам надо резать скорости. И есть подстава с одним ПО которое если не получит IP по доменному имени каких-то адерсов (все не выловил), то очень долго загружается (т.е. dns запросы надо разрешить всем). Красиво разрулить это дело в LAN не удалось. Флоатинг меня устроил именно галочкой quick. Но там я расписываю источник и назначение по максимуму возможному. Если бы не проблема части софта с проксей, то я бы обошелся наверное squid'ом. Но не все его могут, а те что могу (я про ПО с которым надо работать) не все могут нормально без проблем.

@werter said in Падает gateway, который является l2tp клиентом.:

Вижу, что ЯВНО создали л2тп-интерфейс (две вкладки с Л2ТП на скрине). Возможно, что это лишнее. Хватило бы имеющегося (просто L2TP на скрине). Или это у вас 2-й ВАН - Л2ТП?

Да. Интерфейс l2tp создан руками. Без его создания не создать gateway. Сам по себе в firewall он не участвует. Чтобы я туда не добавлял там всегда 0 по пакетам. Но на всякий случай там стоит разрешение any2any на ipv4 любой протокол. Для l2tp клиентов действуют правила из l2tp vpn вкладки.

sirota

@werter Вот только все работало как на рабочем ПК, так и на смарте. Перезагружаю интереса ради pfsense. Через минут на компе у меня доступны все сетевые ресурсы дома. Подключаю l2tp на смарте и все. На смарте доступна только 192.168.0.0/24, в то время как 192.168.1.0/24 не доступна... А на компе из 192.168.0.0/24 доступно все.
В общем спусил "На интерфейсе Л2ТП пф-а временно оставьте только правило можно все всем. Поставьте это правило выше всех." ниже правил с указанием шлюза, нажал save-apply и тут же на смарте все заработало... Нет, пошли только пинги. Ни чего более...
Железо - какой-то i3 (ivy bridge или новее), XPEnology, камеры onvif и rtsp китайские. Не на радуюсь.

sirota

@werter said in Падает gateway, который является l2tp клиентом.:

@sirota

И зачем l2tp? Можно же ovpn https://blog.itspec.ua/2019/01/16/nastrojjka-site-to-site-pfsense-i-mikrotik-obedinjaem-ofisy-ili-udalennye-seti/ Гибко, удобно. И маршруты руками не надо рисовать. Или чистый ipsec.

Кстати. Именно по данной статье я уже делал. Я вообще перепробовал кучу возможных вариаций. Заставить работать в одном месте microtik, android (от 6 до 9 версии, а сейчас еще и 10) + стационары (win7-10) не вышло. даже тот же l2tp ipsec не удается полноценно завести. Голый l2tp без лишних проблем завелся (ну окромя этих маршрутов).

sirota

@werter said in Падает gateway, который является l2tp клиентом.:

@sirota

На интерфейсе Л2ТП пф-а временно оставьте только правило можно все всем. Поставьте это правило выше всех.

Во Флоатинг рулез НИЧЕГО не создавайте. Без понимания лучше туда не лезть.

Зы. Оффтоп. Что за железо и ПО для видеонаблюдения на скрине ? )

Так и не заводится с телефона... с компа проблем нет. с телефона да. Плюнул, докинул во floating правило обратно и все работает с телефона...
Вот скрин флоатинга:

Ни в одном алиасе нет схождения ни в l2tp сеть, ни пересечений нужных мне портов. По какой причине ему не хватает правил указанных в l2tp vpn я не понимаю.

werter

@sirota
Не трогайте Флоатинг рулез без надобности. Пользуйте только правила на интерфейсах. Оч. возможно, что проблемы как раз в этом.

Зы. Отписал в чат.

sirota

@werter said in Падает gateway, который является l2tp клиентом.:

@sirota
Не трогайте Флоатинг рулез без надобности. Пользуйте только правила на интерфейсах. Оч. возможно, что проблемы как раз в этом.

Как без него одному и тому же хосту в LAN запретить доступ скажем ко всем интернет ресурсам кроме определенного списка, но оставить ему возможность получть ip под доменным именам за пределами ЛВС (dns) и пинговать все эти устройства? А потом еще и скорость резать. Я долго кружил, но не смог это реализовать чисто в LAN.

werter

@sirota said in Падает gateway, который является l2tp клиентом.:

А потом еще и скорость резать

Вот для этого - да, для остального должно хватать и простых правил.