Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSEC на IKEv2 с EAP-MSCHAPv2 пинги не ходят дальше pfsense

    Scheduled Pinned Locked Moved Russian
    14 Posts 3 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • humaxoidH
      humaxoid @yarick123
      last edited by humaxoid

      @yarick123

      1. Mode- Tunnel IPv4
        Local net - LAN subnet
        NAT/BINAT translation - None

      2. VPN/IPsec/Pre-Shared Keys/Edit
        Virtual Address Pool - 192.168.xx.xx/32
        Снизу пояснение: Optional. If used, must be IPv4 address. If left blank, "Virtual Address Pool" of "Mobile Clients" will be used.

      В фаерволе собственно и указывать нечего

      Y 1 Reply Last reply Reply Quote 0
      • Y
        yarick123 @humaxoid
        last edited by

        @humaxoid

        Local net - LAN subnet

        А адрес?

        И на мой вопрос

        а какие у Вас адреса интерфейсов, и в особенности маски сетей?

        Вы не ответили. Интересуют LAN и DMZ.

        Virtual Address Pool - 192.168.xx.xx/32

        Пожалуйста, без xx, *,.. etc.

        humaxoidH 1 Reply Last reply Reply Quote 0
        • humaxoidH
          humaxoid @yarick123
          last edited by humaxoid

          @yarick123
          LAN Subnet - 192.168.1.0/24
          Адрес лан интерфейса 192.168.1.1
          DMZ на данный момент не интересует.

          Сделал вот что:

          1. Клиентам назначаем адреса из другой подсети, а именно 192.168.2.0/24, т.е
            отличной от локальной 192.168.1.0/24.
          2. Добавил у клиента маршрут до локальной подсети route -p 192.168.1.0 mask 255.255.255.0 192.168.1.1 . ЛАН интерфейс pfsense стал отвечать на запросы. Но устройства в локальной сети на запросы так и не отвечают.
            Завтра попробую добавить маршруты на устройствах к которым хочу получить доступ.
          Y K 2 Replies Last reply Reply Quote 0
          • Y
            yarick123 @humaxoid
            last edited by yarick123

            @humaxoid

            DMZ на данный момент не интересует.

            Если пересекаются сети, то очень даже интересует.

            1. Добавил у клиента маршрут до локальной подсети route -p 192.168.1.0 mask 255.255.255.0 192.168.1.1 . ЛАН интерфейс pfsense стал отвечать на запросы.

            Это должен делать сам VPN client (software). Похоже, у Вас проблемы с роутингом на клиенте, что является следствием ошибки в конфигурации IPsec.

            А вот ещё такой вопрос. Какой у Вас адрес локальной сети на клиенте, когда Вы работаете без VPN?

            Посмотрите, что у Вас с галкой в "Network ListProvide" в "Mobile Clients" в разделе "Client Configuration (mode-cfg)". В моём понимании в вашем случае эта опция должна быть выключена.

            Попробуйте прописать в Phase 2 Entries в General Information "Network" с адресом 0.0.0.0/0 в качестве "Local net", отключив при этом "Network ListProvide" в "Mobile Clients" в разделе "Client Configuration (mode-cfg)".

            1 Reply Last reply Reply Quote 0
            • K
              Konstanti @humaxoid
              last edited by Konstanti

              @humaxoid
              Здр
              Хочу повторить второй раз свой совет - используйте tcpdump в различных точках туннеля.

              1. точка - wan интерфейс ( esp пакеты)
              2. точка - enc0 интерфейс
              3. точка - lan интерфейс

              И сразу видно , где что пришло и ушло
              И попробуйте , как Вам советуют , настроить фазу 2 с адресом 0.0.0.0/0 , тогда весь трафик клиента должен идти через туннель

              И использовать адресацию 192.168.1.0/24 внутри корпоративной сети - не самое лучшее решение

              1 Reply Last reply Reply Quote 0
              • humaxoidH
                humaxoid
                last edited by humaxoid

                Спасибо коллеги!
                Tcpdump_ом как раз и пользовался. Запустил на пф, смотрел в обе стороны по очереди.
                Вопрос разрешен, но разрешен таки не совсем так как хотелось бы. Спотыкач был в двух вопросах:

                1. Я задал мобильным клиентам туже подсеть что и локальная. А надо было клиентам задать любую другую (свободную). Хотя до этого юзал L2TP. Там вообще пофигу.

                2. Еще надо было прописать маршруты на обоих сторонах, а не только со стороны клиента.

                  ДМЗ не пересекается. Более того, я его на время отключил. Локальный адрес на клиенте белый, выданный провайдером. Смотрит напрямую в инет.

                "Network ListProvide" - стоит галка.
                По второй фазе установил сеть 0.0.0.0/0
                Ничего не изменилось.

                Y 1 Reply Last reply Reply Quote 0
                • Y
                  yarick123 @humaxoid
                  last edited by

                  @humaxoid said in IPSEC на IKEv2 с EAP-MSCHAPv2 пинги не ходят дальше pfsense:

                  Я задал мобильным клиентам туже подсеть что и локальная. А надо было клиентам задать любую другую (свободную).

                  На это и был ориентирован вопрос:

                  Какой у Вас адрес локальной сети на клиенте, когда Вы работаете без VPN?

                  Еще надо было прописать маршруты на обоих сторонах, а не только со стороны клиента.

                  Странно это. Что с одной, что с другой стороны. Это говорит о том, что либо у Вас-таки остались проблемы с конфигурацией, либо Вы очень много чего не рассказали о сетях, которые используете. Ну, или используете pfSense 2.4.5 (до которого у меня не дошли руки) в котором возможно появились новые "баги".

                  humaxoidH 1 Reply Last reply Reply Quote 0
                  • humaxoidH
                    humaxoid @yarick123
                    last edited by humaxoid

                    @yarick123
                    Вернемся к теме. Все-же это не правильно когда каждому клиенту приходится прописывать маршрут руками. Если клиентов много, то это реально утомляет.
                    Пробовал на версиях 2.4.4 и 2.4.5, картина везде одинаковая. Вот что я заметил.
                    У клиента смотрим свойства соединения. Видим что нет адреса шлюза.

                    alt text

                    Возможно что его и не должно там быть. Но тогда не будет правильного маршрута.

                    alt text

                    Соответственно и пакеты не дошли до места назначения. Если прописать маршрут вручную с указанием шлюза, метрики и правильного интерфейса, то все нормально. Сразу увидели ответ по пингам.
                    Все настройки перерыл, все тщетно. Я так понимаю что pfsense для работы ipsec использует strongswan? Может есть возможность где-то в конфигах указать шлюз для клиента? Указать правильный маршрут клиенту с указанием шлюза?

                    K 1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @humaxoid
                      last edited by Konstanti

                      @humaxoid
                      Классический IPSEC работает немного не так , ему не нужен адрес шлюза
                      Strongswan (сторона PFSense) и второй IKE менеджер (сторона клиента) передают данные ядру , а ядро выставляет ловушки для перехвата "интересного" трафика , шифрует его и передает его в ESP пакетах.
                      Эти ловушки Вы можете видеть на закладке SPD. Вы это указываете в настройках фазы 2.
                      Все то что не попадает под критерии "интересного" трафика ,обрабатывается в обычном режиме и не шифруется.

                      обратите внимание на этот текст, написанный Вам чуть выше

                      Странно это. Что с одной, что с другой стороны. Это говорит о том, что либо у Вас-таки остались проблемы с конфигурацией, либо Вы очень много чего не рассказали о сетях, которые используете. Ну, или используете pfSense 2.4.5 (до которого у меня не дошли руки) в котором возможно появились новые "баги".

                      Покажите настройки фазы 2
                      и адресацию сетей клиентов

                      humaxoidH 1 Reply Last reply Reply Quote 0
                      • humaxoidH
                        humaxoid @Konstanti
                        last edited by humaxoid

                        @Konstanti
                        1

                        alt text

                        2

                        alt text

                        K 1 Reply Last reply Reply Quote 0
                        • K
                          Konstanti @humaxoid
                          last edited by

                          @humaxoid
                          При таких настройках фазы 2 весь трафик клиента пойдет через туннель. Никакие маршруты "ручками " прописывать не надо .

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.