Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    VPN IKEv2 авторизация мобильных клиентов

    Scheduled Pinned Locked Moved Russian
    24 Posts 6 Posters 5.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dimm56 @glifed
      last edited by dimm56

      @glifed KennIPSec.png

      Настройки Фазы 1 и Фазы 2 - это уже на ваше усмотрение, главное, что бы совпадали с обеих сторон.

      G 1 Reply Last reply Reply Quote 1
      • G
        glifed @dimm56
        last edited by

        @dimm56 said in VPN IKEv2 авторизация мобильных клиентов:

        @glifed KennIPSec.png

        Настройки Фазы 1 и Фазы 2 - это уже на ваше усмотрение, главное, что бы совпадали с обеих сторон.

        А это интерфейс клиентского ПО? Я пытаюсь зацепить win машины.
        Подробнее тут https://forum.netgate.com/topic/156504/%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%8B-%D1%81-ipsec-ikev2

        D 1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by werter

          Добрый.
          @humaxoid

          Это на пф серый адрес на ВАН?

          Нет ответа (

          Если у ТС на ВАНе пф серый ip (+ вдобавок ПЕРЕД пф стоит какая-то железка), то о каком успешном ipsec может идти речь?

          D 1 Reply Last reply Reply Quote 1
          • D
            dimm56 @werter
            last edited by

            @werter Это однозначно, что сервер должен быть с адресом. Надеюсь это так и есть)

            1 Reply Last reply Reply Quote 0
            • D
              dimm56 @glifed
              last edited by dimm56

              @glifed Отдельные машины, по моему мнению, лучше через OpenVPN цеплять. Быстрее работают и быстрее ре-коннект при обрыве связи. Ставишь клиента OpenVPN, сертификат в PF генеришь и на основании него делаешь файл .ovpn, подгружаешь в клиента и в автозагрузку его. При старте win машины он сам автоматом соединяется. У меня так кассы в магазинах работают. А IPSec, опять таки по моему мнению, лучше сети соединять. Так у меня и сделано.

              Настройка OpenVPN Win: https://softnastroy.com/content/avtomaticheskiy-zapusk-openvpn-v-windows-ispolzuya-nuzhnyy-vam-konfiguracionnyy-fayl-ovpn.html

              Шаблон файла .ovpn, что бы долго не искать и не мучаться:

              client
              dev tun
              proto tcp (у меня tcp у себя можешь и udp сделать, как удобно)
              remote (адрес твоего сервера)
              port //порт твоего сервера
              auth SHA256
              cipher AES-256-GCM
              keysize 256
              resolv-retry infinite
              nobind
              persist-key
              persist-tun
              keepalive 10 120
              comp-lzo
              verb 3

              <ca> (сертификат сервера, тот который ca из PF)
              -----BEGIN CERTIFICATE-----

              -----END CERTIFICATE-----

              </ca>

              <cert> (сертификат клиента из PF)
              -----BEGIN CERTIFICATE-----

              -----END CERTIFICATE-----

              </cert>

              <key> (ключ клиента из PF)
              -----BEGIN PRIVATE KEY-----

              -----END PRIVATE KEY-----

              </key>

              G 1 Reply Last reply Reply Quote 0
              • G
                glifed @dimm56
                last edited by

                @dimm56 Это я уже настроил. Даже через Active Directory. От руководства пришло распоряжение оттестировать IKEv2

                1 Reply Last reply Reply Quote 1
                • werterW
                  werter
                  last edited by werter

                  @dimm56 said in VPN IKEv2 авторизация мобильных клиентов:

                  OpenVPN, сертификат в PF генеришь и на основании него делаешь файл .ovpn, подгружаешь в клиента и в автозагрузку его. При старте win машины он сам автоматом соединяется. У меня так кассы в магазинах работают.

                  Вариант поставить роутер\пф и пусть он поднимает впн-линк, а все остальные через него "ходят" не рассматривался? Зачем 100500 клиентов-то? Это усложняет схему и нагружает впн-сервер.

                  1 Reply Last reply Reply Quote 0
                  • humaxoidH
                    humaxoid
                    last edited by humaxoid

                    @werter said in VPN IKEv2 авторизация мобильных клиентов:

                    Это на пф серый адрес на ВАН?

                    Да на ПФ. Серый IP ПФ получает от провайдера, подключение по PPPoE.

                    @dimm56 said in VPN IKEv2 авторизация мобильных клиентов:

                    Что бы все работало надо порты открывать:
                    IPv4 ESP * * WAN адрес * * * IPSec
                    IPv4 TCP/UDP * * WAN адрес 500 (ISAKMP) * * IPSec
                    IPv4 TCP/UDP * * WAN адрес 4500 (IPsec NAT-T) * * IPSec
                    У меня так и все ок. И стационарные и мобильные клиенты работаю.

                    Конечно все эти порты открыты! О чем и говорит соответсвующая запись в логах.05[IKE] <1145> received cert request for unknown ca with keyid 0e:ac:82:60:40:56:27:97:e5:25:13:fc:2a:e1:0a:53:95:59:e4:a4
                    Типа достучался, а вот сертификат не правильный. Хотя на самом деле, сертификат очень даже ровный. Заметил еще одну вещь. Иногда, (очень редко) подключение всё таки проходит корректно. Хотя в настройках ничего не меняю. Есть у меня еще другой пфсенс с аналогичными настройками (другой провайдер с белым ip) там всё без проблем.

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by werter

                      Оффтоп.

                      Комрады, поднял у себя Jitsi Meet для видеоконференций. Плюс RocketChat для общения в корп. сети. И подружил с LDAP\AD (ох и не просто это в случае с рокетом - продукт хорош, но сыроват без "напильника").

                      Это я к грядущей самоизоляции готовлюсь.

                      Зы. Почему рокет? Перепробовал zulip, matrix, ejabberd + conversejs (классно, но с LDAP-ом есть нюансы). И только рокет (с танцами) смог подгрузить пользователей из АД и дал возможность сразу создавать каналы и подкидывать в них пол-лей.

                      Зы2 . Насчет jitsi (требует всего 3 порта для проброса за NAT). Оч. гибкая штука, но надо руками править конфиги. Провел конференцию на 18 человек, но пришлось принудительно снижать кач-во видео из-за каналов связи и старенького сервера с Proxmox-ом, на к-ом живет jitsi в виде ВМ.

                      Зы3. Пробовал еще BBB (BigBlueButton). Гибче в плане управления, но умеет только на Ubuntu 16 жить. Устанавливается скриптом. Можно прикрутить к Moodle LMS (есть статья на хабре).

                      G 1 Reply Last reply Reply Quote 0
                      • G
                        glifed @werter
                        last edited by

                        @werter
                        Тоже используем Rocket.Chat
                        Как решили вопрос с удалением неактивных учеток AD?

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by werter

                          @glifed

                          Не удалением учеток, а запретом показывать их и запретом аутентификации в чате.

                          Фильтр:

                          (&(objectClass=user)(sAMAccountType=805306368)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(showInAdvancedViewOnly=TRUE)))
                          

                          showInAdvancedViewOnly=TRUE для того, чтобы отсеивать служебные учетки, к-ым не надо светиться в чате.
                          showInAdvancedViewOnly - атрибут в АД при вкл. Показывать расширенные настройки в учетке.

                          Зы2. Для принудительного удаления всех данных по пользователям из АД в базе mongo:

                          # Batch deletion of users registered in Background Sync
                          mongo
                          use rocketchat;
                          db.users.remove({"ldap": true});
                          db.users.find();
                          

                          2020-09-02 10_25_14-Rocket.Chat.png

                          1 Reply Last reply Reply Quote 0
                          • werterW
                            werter
                            last edited by werter

                            (&(objectClass=user)(sAMAccountType=805306368)(!(userAccountControl:1.2.840.113556.1.4.803:=2))(!(showInAdvancedViewOnly=TRUE)))

                            Можно проще:
                            (&(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))

                            J 1 Reply Last reply Reply Quote 1
                            • J
                              JonnyDy @werter
                              last edited by

                              @werter Доброго времени суток. Случайно натолкнулся на офтоп. Настраивали блокировку пользователей АД в рокете при их блокировке в АД ?

                              werterW 1 Reply Last reply Reply Quote 0
                              • werterW
                                werter @JonnyDy
                                last edited by

                                Добрый
                                @jonnydy
                                Ответил в ЛС.

                                1 Reply Last reply Reply Quote 1
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.