Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Authentication Server (MS RADIUS, MS LDAP AD) - сервер находится в другой сети

    Scheduled Pinned Locked Moved Russian
    33 Posts 3 Posters 2.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Konstanti @mikeroygbiv
      last edited by

      @mikeroygbiv
      Попробуйте , ради интереса, сделать так
      создайте дополнительную фазу 2 на стороне PF Site B
      d42c01ac-153f-4629-9285-93a8e17cc6a9-image.png

      M 1 Reply Last reply Reply Quote 0
      • M
        mikeroygbiv @Konstanti
        last edited by

        @Konstanti fd4d9edf-b8e6-48cc-b95f-e1bbdd02655f-image.png

        на сайте B при логине по VPN такая картина
        есть реквесты но никакого ответа

        K 1 Reply Last reply Reply Quote 0
        • K
          Konstanti @mikeroygbiv
          last edited by

          @mikeroygbiv
          Вы сделали , как я сказал ?? я понимаю , в чем проблема , думаю , как ее решить

          M 1 Reply Last reply Reply Quote 0
          • M
            mikeroygbiv @Konstanti
            last edited by

            @Konstanti
            боюсь делать сейчас, это прод)
            сейчас подниму ipsec в лабе между двух pfsense
            там все это проверю!

            K 1 Reply Last reply Reply Quote 0
            • K
              Konstanti @mikeroygbiv
              last edited by Konstanti

              @mikeroygbiv
              Тут нет криминала
              Проблема в том , что PF Site B ничего не знает про сеть 192.168.0.0/ 20 ( ее нет в таблице маршрутизации ) . Поэтому когда от самого PF исходит пакет на адрес 192.168.1.7 , то он этот пакет пихает в шлюз по умолчанию , которым является wan интерфейс. Ловушек , которые бы перехватывали этот трафик и запихивали бы его в ipsec туннель тоже нет . Таким образом , эти пакеты улетают в никуда через wan интерефейс . Как создать такую ловушку , используя NAT/BINAT я Вам показал .
              Если такой вариант не сработает , то Вам надо будет переходить на маршрутизируемый виртуальный туннель ( GRE over Ipsec , VTI, OpenVpn)

              1 Reply Last reply Reply Quote 1
              • M
                mikeroygbiv @Konstanti
                last edited by

                @Konstanti

                Вобщем затестил в лабе с доп. второй фазой - результата нет..

                лаба - ipsec между pf1 и pf2 есть,открыт весь тарффик, все туда обратно бегает. авторизация на pf1 по VPN по доменной учетке (radius) тоже

                K 1 Reply Last reply Reply Quote 0
                • K
                  Konstanti @mikeroygbiv
                  last edited by Konstanti

                  @mikeroygbiv
                  Понятно , скорее всего ловушки не срабатывают на исходящем трафике .
                  Попробуйте рассмотреть вариант перехода на маршутизируемый туннель , как писал выше . Этот вариант должен сработать
                  На всякий случай , покажите пож вывод команды ipsec statusall и состояние фазы 2 в /status/ipsec после создания доп фазы-2
                  и проверьте tcpdump-ом , куда сейчас убегает трафик на порту 1812

                  M 2 Replies Last reply Reply Quote 1
                  • M
                    mikeroygbiv @Konstanti
                    last edited by

                    @Konstanti
                    Ура, у меня получилось реализовать эту схему , заработало ))
                    пока не понял что сработало - ловушки, которые вы порекомендовали сделать или это))
                    https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/access-firewall-over-ipsec.html

                    в любом случае сейчас разберусь, что дало эту возможность)

                    1 Reply Last reply Reply Quote 0
                    • M
                      mikeroygbiv @Konstanti
                      last edited by mikeroygbiv

                      @Konstanti
                      вобщем добавление статического маршрута, как в этой статье решает этот вопрос - аутентификация VPN с сайта Б через raduis ad на сайте А работает, и я попадаю в локалку сайта Б .

                      https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/access-firewall-over-ipsec.html

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        Добрый.
                        @mikeroygbiv

                        Или автоматом выдавать маршрут https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/routed-vti.html

                        @Konstanti выше это предлагал.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.