Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSEC на IKEv2 с EAP-MSCHAPv2 пинги не ходят дальше pfsense

    Scheduled Pinned Locked Moved Russian
    14 Posts 3 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Y
      yarick123
      last edited by

      Доброго.

      @humaxoid

      1. а какие у Вас адреса интерфейсов, и в особенности с маски сетей? Что стоит в Phase 2 Entries в General Information?

      2. насколько я помню, в IPSec pfSense для mobile clients невозможно назначать постоянные IP адреса. Да и как Вы это себе представляете? По какому критерию? Один и тот же пользователь может заходить одновременно с разных IP адресов.

      P.S. Воспринимать интерфейс pfSense на русском очень непривычно. Выбирая его, Вы в некотором смысле отказываетесь от всего международного форума.

      P.P.S. Мне бы вашу уверенность в правилах фаервола, когда что-то не работает...

      humaxoidH 1 Reply Last reply Reply Quote 0
      • humaxoidH
        humaxoid @yarick123
        last edited by humaxoid

        @yarick123

        1. Mode- Tunnel IPv4
          Local net - LAN subnet
          NAT/BINAT translation - None

        2. VPN/IPsec/Pre-Shared Keys/Edit
          Virtual Address Pool - 192.168.xx.xx/32
          Снизу пояснение: Optional. If used, must be IPv4 address. If left blank, "Virtual Address Pool" of "Mobile Clients" will be used.

        В фаерволе собственно и указывать нечего

        Y 1 Reply Last reply Reply Quote 0
        • Y
          yarick123 @humaxoid
          last edited by

          @humaxoid

          Local net - LAN subnet

          А адрес?

          И на мой вопрос

          а какие у Вас адреса интерфейсов, и в особенности маски сетей?

          Вы не ответили. Интересуют LAN и DMZ.

          Virtual Address Pool - 192.168.xx.xx/32

          Пожалуйста, без xx, *,.. etc.

          humaxoidH 1 Reply Last reply Reply Quote 0
          • humaxoidH
            humaxoid @yarick123
            last edited by humaxoid

            @yarick123
            LAN Subnet - 192.168.1.0/24
            Адрес лан интерфейса 192.168.1.1
            DMZ на данный момент не интересует.

            Сделал вот что:

            1. Клиентам назначаем адреса из другой подсети, а именно 192.168.2.0/24, т.е
              отличной от локальной 192.168.1.0/24.
            2. Добавил у клиента маршрут до локальной подсети route -p 192.168.1.0 mask 255.255.255.0 192.168.1.1 . ЛАН интерфейс pfsense стал отвечать на запросы. Но устройства в локальной сети на запросы так и не отвечают.
              Завтра попробую добавить маршруты на устройствах к которым хочу получить доступ.
            Y K 2 Replies Last reply Reply Quote 0
            • Y
              yarick123 @humaxoid
              last edited by yarick123

              @humaxoid

              DMZ на данный момент не интересует.

              Если пересекаются сети, то очень даже интересует.

              1. Добавил у клиента маршрут до локальной подсети route -p 192.168.1.0 mask 255.255.255.0 192.168.1.1 . ЛАН интерфейс pfsense стал отвечать на запросы.

              Это должен делать сам VPN client (software). Похоже, у Вас проблемы с роутингом на клиенте, что является следствием ошибки в конфигурации IPsec.

              А вот ещё такой вопрос. Какой у Вас адрес локальной сети на клиенте, когда Вы работаете без VPN?

              Посмотрите, что у Вас с галкой в "Network ListProvide" в "Mobile Clients" в разделе "Client Configuration (mode-cfg)". В моём понимании в вашем случае эта опция должна быть выключена.

              Попробуйте прописать в Phase 2 Entries в General Information "Network" с адресом 0.0.0.0/0 в качестве "Local net", отключив при этом "Network ListProvide" в "Mobile Clients" в разделе "Client Configuration (mode-cfg)".

              1 Reply Last reply Reply Quote 0
              • K
                Konstanti @humaxoid
                last edited by Konstanti

                @humaxoid
                Здр
                Хочу повторить второй раз свой совет - используйте tcpdump в различных точках туннеля.

                1. точка - wan интерфейс ( esp пакеты)
                2. точка - enc0 интерфейс
                3. точка - lan интерфейс

                И сразу видно , где что пришло и ушло
                И попробуйте , как Вам советуют , настроить фазу 2 с адресом 0.0.0.0/0 , тогда весь трафик клиента должен идти через туннель

                И использовать адресацию 192.168.1.0/24 внутри корпоративной сети - не самое лучшее решение

                1 Reply Last reply Reply Quote 0
                • humaxoidH
                  humaxoid
                  last edited by humaxoid

                  Спасибо коллеги!
                  Tcpdump_ом как раз и пользовался. Запустил на пф, смотрел в обе стороны по очереди.
                  Вопрос разрешен, но разрешен таки не совсем так как хотелось бы. Спотыкач был в двух вопросах:

                  1. Я задал мобильным клиентам туже подсеть что и локальная. А надо было клиентам задать любую другую (свободную). Хотя до этого юзал L2TP. Там вообще пофигу.

                  2. Еще надо было прописать маршруты на обоих сторонах, а не только со стороны клиента.

                    ДМЗ не пересекается. Более того, я его на время отключил. Локальный адрес на клиенте белый, выданный провайдером. Смотрит напрямую в инет.

                  "Network ListProvide" - стоит галка.
                  По второй фазе установил сеть 0.0.0.0/0
                  Ничего не изменилось.

                  Y 1 Reply Last reply Reply Quote 0
                  • Y
                    yarick123 @humaxoid
                    last edited by

                    @humaxoid said in IPSEC на IKEv2 с EAP-MSCHAPv2 пинги не ходят дальше pfsense:

                    Я задал мобильным клиентам туже подсеть что и локальная. А надо было клиентам задать любую другую (свободную).

                    На это и был ориентирован вопрос:

                    Какой у Вас адрес локальной сети на клиенте, когда Вы работаете без VPN?

                    Еще надо было прописать маршруты на обоих сторонах, а не только со стороны клиента.

                    Странно это. Что с одной, что с другой стороны. Это говорит о том, что либо у Вас-таки остались проблемы с конфигурацией, либо Вы очень много чего не рассказали о сетях, которые используете. Ну, или используете pfSense 2.4.5 (до которого у меня не дошли руки) в котором возможно появились новые "баги".

                    humaxoidH 1 Reply Last reply Reply Quote 0
                    • humaxoidH
                      humaxoid @yarick123
                      last edited by humaxoid

                      @yarick123
                      Вернемся к теме. Все-же это не правильно когда каждому клиенту приходится прописывать маршрут руками. Если клиентов много, то это реально утомляет.
                      Пробовал на версиях 2.4.4 и 2.4.5, картина везде одинаковая. Вот что я заметил.
                      У клиента смотрим свойства соединения. Видим что нет адреса шлюза.

                      alt text

                      Возможно что его и не должно там быть. Но тогда не будет правильного маршрута.

                      alt text

                      Соответственно и пакеты не дошли до места назначения. Если прописать маршрут вручную с указанием шлюза, метрики и правильного интерфейса, то все нормально. Сразу увидели ответ по пингам.
                      Все настройки перерыл, все тщетно. Я так понимаю что pfsense для работы ipsec использует strongswan? Может есть возможность где-то в конфигах указать шлюз для клиента? Указать правильный маршрут клиенту с указанием шлюза?

                      K 1 Reply Last reply Reply Quote 0
                      • K
                        Konstanti @humaxoid
                        last edited by Konstanti

                        @humaxoid
                        Классический IPSEC работает немного не так , ему не нужен адрес шлюза
                        Strongswan (сторона PFSense) и второй IKE менеджер (сторона клиента) передают данные ядру , а ядро выставляет ловушки для перехвата "интересного" трафика , шифрует его и передает его в ESP пакетах.
                        Эти ловушки Вы можете видеть на закладке SPD. Вы это указываете в настройках фазы 2.
                        Все то что не попадает под критерии "интересного" трафика ,обрабатывается в обычном режиме и не шифруется.

                        обратите внимание на этот текст, написанный Вам чуть выше

                        Странно это. Что с одной, что с другой стороны. Это говорит о том, что либо у Вас-таки остались проблемы с конфигурацией, либо Вы очень много чего не рассказали о сетях, которые используете. Ну, или используете pfSense 2.4.5 (до которого у меня не дошли руки) в котором возможно появились новые "баги".

                        Покажите настройки фазы 2
                        и адресацию сетей клиентов

                        humaxoidH 1 Reply Last reply Reply Quote 0
                        • humaxoidH
                          humaxoid @Konstanti
                          last edited by humaxoid

                          @Konstanti
                          1

                          alt text

                          2

                          alt text

                          K 1 Reply Last reply Reply Quote 0
                          • K
                            Konstanti @humaxoid
                            last edited by

                            @humaxoid
                            При таких настройках фазы 2 весь трафик клиента пойдет через туннель. Никакие маршруты "ручками " прописывать не надо .

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.