Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSEC на IKEv2 с EAP-MSCHAPv2 пинги не ходят дальше pfsense

    Scheduled Pinned Locked Moved Russian
    14 Posts 3 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Y
      yarick123 @humaxoid
      last edited by

      @humaxoid

      Local net - LAN subnet

      А адрес?

      И на мой вопрос

      а какие у Вас адреса интерфейсов, и в особенности маски сетей?

      Вы не ответили. Интересуют LAN и DMZ.

      Virtual Address Pool - 192.168.xx.xx/32

      Пожалуйста, без xx, *,.. etc.

      humaxoidH 1 Reply Last reply Reply Quote 0
      • humaxoidH
        humaxoid @yarick123
        last edited by humaxoid

        @yarick123
        LAN Subnet - 192.168.1.0/24
        Адрес лан интерфейса 192.168.1.1
        DMZ на данный момент не интересует.

        Сделал вот что:

        1. Клиентам назначаем адреса из другой подсети, а именно 192.168.2.0/24, т.е
          отличной от локальной 192.168.1.0/24.
        2. Добавил у клиента маршрут до локальной подсети route -p 192.168.1.0 mask 255.255.255.0 192.168.1.1 . ЛАН интерфейс pfsense стал отвечать на запросы. Но устройства в локальной сети на запросы так и не отвечают.
          Завтра попробую добавить маршруты на устройствах к которым хочу получить доступ.
        Y K 2 Replies Last reply Reply Quote 0
        • Y
          yarick123 @humaxoid
          last edited by yarick123

          @humaxoid

          DMZ на данный момент не интересует.

          Если пересекаются сети, то очень даже интересует.

          1. Добавил у клиента маршрут до локальной подсети route -p 192.168.1.0 mask 255.255.255.0 192.168.1.1 . ЛАН интерфейс pfsense стал отвечать на запросы.

          Это должен делать сам VPN client (software). Похоже, у Вас проблемы с роутингом на клиенте, что является следствием ошибки в конфигурации IPsec.

          А вот ещё такой вопрос. Какой у Вас адрес локальной сети на клиенте, когда Вы работаете без VPN?

          Посмотрите, что у Вас с галкой в "Network ListProvide" в "Mobile Clients" в разделе "Client Configuration (mode-cfg)". В моём понимании в вашем случае эта опция должна быть выключена.

          Попробуйте прописать в Phase 2 Entries в General Information "Network" с адресом 0.0.0.0/0 в качестве "Local net", отключив при этом "Network ListProvide" в "Mobile Clients" в разделе "Client Configuration (mode-cfg)".

          1 Reply Last reply Reply Quote 0
          • K
            Konstanti @humaxoid
            last edited by Konstanti

            @humaxoid
            Здр
            Хочу повторить второй раз свой совет - используйте tcpdump в различных точках туннеля.

            1. точка - wan интерфейс ( esp пакеты)
            2. точка - enc0 интерфейс
            3. точка - lan интерфейс

            И сразу видно , где что пришло и ушло
            И попробуйте , как Вам советуют , настроить фазу 2 с адресом 0.0.0.0/0 , тогда весь трафик клиента должен идти через туннель

            И использовать адресацию 192.168.1.0/24 внутри корпоративной сети - не самое лучшее решение

            1 Reply Last reply Reply Quote 0
            • humaxoidH
              humaxoid
              last edited by humaxoid

              Спасибо коллеги!
              Tcpdump_ом как раз и пользовался. Запустил на пф, смотрел в обе стороны по очереди.
              Вопрос разрешен, но разрешен таки не совсем так как хотелось бы. Спотыкач был в двух вопросах:

              1. Я задал мобильным клиентам туже подсеть что и локальная. А надо было клиентам задать любую другую (свободную). Хотя до этого юзал L2TP. Там вообще пофигу.

              2. Еще надо было прописать маршруты на обоих сторонах, а не только со стороны клиента.

                ДМЗ не пересекается. Более того, я его на время отключил. Локальный адрес на клиенте белый, выданный провайдером. Смотрит напрямую в инет.

              "Network ListProvide" - стоит галка.
              По второй фазе установил сеть 0.0.0.0/0
              Ничего не изменилось.

              Y 1 Reply Last reply Reply Quote 0
              • Y
                yarick123 @humaxoid
                last edited by

                @humaxoid said in IPSEC на IKEv2 с EAP-MSCHAPv2 пинги не ходят дальше pfsense:

                Я задал мобильным клиентам туже подсеть что и локальная. А надо было клиентам задать любую другую (свободную).

                На это и был ориентирован вопрос:

                Какой у Вас адрес локальной сети на клиенте, когда Вы работаете без VPN?

                Еще надо было прописать маршруты на обоих сторонах, а не только со стороны клиента.

                Странно это. Что с одной, что с другой стороны. Это говорит о том, что либо у Вас-таки остались проблемы с конфигурацией, либо Вы очень много чего не рассказали о сетях, которые используете. Ну, или используете pfSense 2.4.5 (до которого у меня не дошли руки) в котором возможно появились новые "баги".

                humaxoidH 1 Reply Last reply Reply Quote 0
                • humaxoidH
                  humaxoid @yarick123
                  last edited by humaxoid

                  @yarick123
                  Вернемся к теме. Все-же это не правильно когда каждому клиенту приходится прописывать маршрут руками. Если клиентов много, то это реально утомляет.
                  Пробовал на версиях 2.4.4 и 2.4.5, картина везде одинаковая. Вот что я заметил.
                  У клиента смотрим свойства соединения. Видим что нет адреса шлюза.

                  alt text

                  Возможно что его и не должно там быть. Но тогда не будет правильного маршрута.

                  alt text

                  Соответственно и пакеты не дошли до места назначения. Если прописать маршрут вручную с указанием шлюза, метрики и правильного интерфейса, то все нормально. Сразу увидели ответ по пингам.
                  Все настройки перерыл, все тщетно. Я так понимаю что pfsense для работы ipsec использует strongswan? Может есть возможность где-то в конфигах указать шлюз для клиента? Указать правильный маршрут клиенту с указанием шлюза?

                  K 1 Reply Last reply Reply Quote 0
                  • K
                    Konstanti @humaxoid
                    last edited by Konstanti

                    @humaxoid
                    Классический IPSEC работает немного не так , ему не нужен адрес шлюза
                    Strongswan (сторона PFSense) и второй IKE менеджер (сторона клиента) передают данные ядру , а ядро выставляет ловушки для перехвата "интересного" трафика , шифрует его и передает его в ESP пакетах.
                    Эти ловушки Вы можете видеть на закладке SPD. Вы это указываете в настройках фазы 2.
                    Все то что не попадает под критерии "интересного" трафика ,обрабатывается в обычном режиме и не шифруется.

                    обратите внимание на этот текст, написанный Вам чуть выше

                    Странно это. Что с одной, что с другой стороны. Это говорит о том, что либо у Вас-таки остались проблемы с конфигурацией, либо Вы очень много чего не рассказали о сетях, которые используете. Ну, или используете pfSense 2.4.5 (до которого у меня не дошли руки) в котором возможно появились новые "баги".

                    Покажите настройки фазы 2
                    и адресацию сетей клиентов

                    humaxoidH 1 Reply Last reply Reply Quote 0
                    • humaxoidH
                      humaxoid @Konstanti
                      last edited by humaxoid

                      @Konstanti
                      1

                      alt text

                      2

                      alt text

                      K 1 Reply Last reply Reply Quote 0
                      • K
                        Konstanti @humaxoid
                        last edited by

                        @humaxoid
                        При таких настройках фазы 2 весь трафик клиента пойдет через туннель. Никакие маршруты "ручками " прописывать не надо .

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.