IPSEC site-to-site маршрутизация 7-ми подсетей.
-
Добрый день.
С одной стороны PFSENCE - с другой стороны ChecpPoint.
Канал работает. Необходимо получить доступ к 7-ми подсетям на удаленной стороне.
Одновременно работают только две.
Настройки фазы 2:
IKE Phase2: IKEv2
IPSec Mode: Tunnel
Encryption: AES (256 Bits) SHA-256
Perfect Forward Secrecy (PFS): Group 5
Hash: SHA-256
Lifetime (Renegotiate IPSec): 3600-86400 sec
подсеть для nat x.x.x.x/30Ошибок в логах не нашел. Видно только то что не все сети пробрасываются.
Подскажите как заставить работать все 7 подсетей одновременно. -
-
'Pfsense checkpoint ipsec' в гугле пробовали?
-
@werter Да, за чекпоинтом.
-
@werter через гугл и яндекс не нашел решения проблемы.
-
@ufd Здр
1 Покажите , пож , настройки фазы 2 со стороны PF
2 Покажите , пож , настройки фазы 2 со стороны Checkpoint
3 можно используя tcpdump посмотреть какой трафик перехватывается ядром PFSense для отправки через туннель -
@ufd
В ipsec в режиме Routed (VTI)? -
@werter
Судя по тому , что указано в первом посту , ТС не имеет доступа к настройкам Checkoint -
Необходимо получить доступ к 7-ми подсетям на удаленной стороне.
-
Если сети на удал. стороне можно конкатенировать (объединить) с пом. маски подсети - воспользуйтесь этим и укажите в Фазе 2
Тут https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/multiple-subnets.html со слов Supernetting Example -
Если в.1 невозможен - стройте столько Фаз 2, сколько удаленных сетей надо роутить.
Зы. Вар.1 точно подойдет, если адресация ваша и удаленные НЕ СОВПАДАЕТ.
-
-
Вот настройки.
tcpdump показывает что трафик по пяти подсетям не идут в тунель.
Объединить подсети не получится будут пересечения с локальными.
В настройках как раз добавил 7 фаз под каждую подсеть. работают только две.
Доступа к настройкам CheckPoint нет. -
@ufd
Те Вы поднимаете 7 туннелей ? Все верно ?
и ipsec statusall показывает, что все 7 подняты ? верно ?
и на закладке /status/ipsec/ SPDs - тоже все ок ?какая адресация у удаленных сетей (всех семи ) ?
и какие правила файрвола на Lan интерфейсе ? все 7 этих сетей разрешены ?
и вот тут можно подетальнее
Объединить подсети не получится будут пересечения с локальными. -
Объединить подсети не получится будут пересечения с локальными
Перечень сетей давайте. Ваших и удаленных.
Покажите таблицу марш-ции на пф при всех поднятых туннелях.Зы. Смените язык пф на english. И никогда не пользуйте русский для вебки сетевого оборудования.
-
если объединить то можно уменьшить до 3-х
10.7.21/24
10.2.0.0/17
10.193.64.0/18пересечения идут с подсетями 10.0.10.0/24 10.0.11.0/24 10.241.24.40/32
-
@Konstanti said in IPSEC site-to-site маршрутизация 7-ми подсетей.:
ipsec statusall
-
@werter said in IPSEC site-to-site маршрутизация 7-ми подсетей.:
Покажите таблицу марш-ции на пф при всех поднятых туннелях.
-
@Konstanti
в SPDs также все эти сети отображаются.
если отключить те фазы которые работают после переподключения начинают работать другие две. так что настройки фаервола тут не причем. -
-
на стороне checkpoint вылезает ошибка
child sa exchange: peer's message is unacceptable -
-
@ufd
Давайте , еще раз
если оставить , к примеру , 3 любых фазы-2 , то все равно будут работать только 2 туннеля ? верно ?
на каком интерфейсе Вы запускали tcpdump ?
Попробуйте провести эксперимент , оставляем 3 работающих туннеля и проверяем работу . Если работают все 3 одновременно , то ок , добавляем следующий
если работают только два из трех , то запускаем tcpdump вот такой командой
tcpdump -netti enc0 host <здесь указываете ip адрес удаленного хоста из неотвечающей сети>если есть трафик , то покажите его тут . Просьба - не надо ничего замазывать , кроме белых ip адресов туннеля