IPSec + GRE + frr OSPF не понимаю, как настроить сетевой экран.
-
Здравствуйте, уважаемые! Задумал я на своём месте работы заменить шлюзы на PFSense, по причине устаревания операционных систем. Решал я вопрос, дома, на виртуальном тестовом стенде (именно поэтому у меня WAN адреса серые, на схеме), на 90% решил (версии шлюзов самые свежие). Настроил IPSec, в режиме транспорта, прописал правило, в сетевом экране, на всех шлюзах. Здесь всё идеально. Настроил и прописал GRE тоннели, именно в том виде, в каком они на схеме. Всё чудесно, прописал правило, для интерфейсов GRE, в сетевом экране, на всех шлюзах. Здесь всё работает, со шлюзов GRE адреса отзываются. Поставил пакет frr OSPF (кстати, хочу обратить внимание разработчиков на то, что пакет Quagga OSPF ставится и работает некорректно, поэтому пришлось отказаться от него), настроил его, маршруты есть, здесь всё тоже отлично.
Печально только то, что вообще нет связи с серыми адресами. С сети 192.168.5.0 я пытаюсь достучаться до сетей 192.168.6.0 и 192.168.7.0, соответственно, наоборот, ничего не работает. Пинга нет, трассировка, если пытаюсь запускать с клиентов (5.2, 6.2, 7.2), то идёт только до местного шлюза, первый хоп, а далее превышен интервал ожидания для запроса.
Появляется связь между сетями только тогда, когда я отключаю командой pfctl -d сетевые экраны, на всех шлюзах. Тогда идёт и пинг и трассировка. Когда включаю, то опять связь пропадает. Я пытался засунуть во все интерфейсы разрешающие правила, чтобы "отловить", пытался настраивать NAT, всё бесполезно. Связь появляется только тогда, когда я отключаю сетевые экраны, никак иначе. Посоветуйте, что тут можно сделать? В журнале полнейшая чушь, только пакеты, которые приходят через WAN и всё, совсем не то, что нужно.
-
FreeBSD имеет нехороший баг связанный с IPsec/GRE:
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=226411Нужно создать floating правило с sloppy state, см. подробнее: https://redmine.pfsense.org/issues/4479
-
@viktor_g
Здр
Такого не читал, спасибо (почитаю)
Но , в свое время , сделал такое floating правило для GRE туннеля ( не помню , почему, по-моему, в какой-то статье вычитал)и все работает (направление ANY, )
GRE туннель over IPSEc в реализации PFSense имеет другую проблему . При инициализации системы GRE туннель поднимается раньше , чем устанавливается IPSEC соединение , и вот тут начинаются "танцы с бубном"
-
Добрый
@Павел
Поднимал связку OSPF + OpenVPN. Попробуйте вместо OSPF + IPSEC + GRE
forum.netgate.com/topic/147028/два-провайдера-и-openvpn-клиент/69 -
Всё бесполезно. Прочитал, правила создал, толку нету, всё равно. Трафик ходит и трассировка по GRE, они пингуются, всё нормально. OSPF маршруты создаёт, их видно, что они есть. Но по прежнему трафик в серой сети начинает ходить только тогда, когда отключить сетевой фильтр. Я в полной растерянности, ничего не получается. Там где баг описывается я вообще не понял, какое правило надо создать и что сделать.
-
В общем, надоело мне. Делал по этому видео, в точности, правда, маршрутизация у меня динамическая.
https://www.youtube.com/watch?v=YPYFcya3Qls&t=693s
Всё равно не завелось. Хоть что делай, хоть башкой бейся об стол, всё равно ничего не получается. Уничтожил всё, что создавал, дома. Все машины удалил, психанув. Всё, нет больше моего труда.
Всё, я думаю, просто сделаю OpenVPN и всё, как и делал. Он, по крайней мере, работает хорошо. Вас, разработчики, не за что благодарить.
-
@Павел said in IPSec + GRE + frr OSPF не понимаю, как настроить сетевой экран.:
Всё бесполезно. Прочитал, правила создал, толку нету, всё равно. Трафик ходит и трассировка по GRE, они пингуются, всё нормально. OSPF маршруты создаёт, их видно, что они есть. Но по прежнему трафик в серой сети начинает ходить только тогда, когда отключить сетевой фильтр. Я в полной растерянности, ничего не получается. Там где баг описывается я вообще не понял, какое правило надо создать и что сделать.
Подымайте OSPF на IPsec VTI интерфейсах, работает у всех
См. https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ipsec-routed.html