IPSEC site-to-site маршрутизация 7-ми подсетей.
-
-
'Pfsense checkpoint ipsec' в гугле пробовали?
-
@werter Да, за чекпоинтом.
-
@werter через гугл и яндекс не нашел решения проблемы.
-
@ufd Здр
1 Покажите , пож , настройки фазы 2 со стороны PF
2 Покажите , пож , настройки фазы 2 со стороны Checkpoint
3 можно используя tcpdump посмотреть какой трафик перехватывается ядром PFSense для отправки через туннель -
@ufd
В ipsec в режиме Routed (VTI)? -
@werter
Судя по тому , что указано в первом посту , ТС не имеет доступа к настройкам Checkoint -
Необходимо получить доступ к 7-ми подсетям на удаленной стороне.
-
Если сети на удал. стороне можно конкатенировать (объединить) с пом. маски подсети - воспользуйтесь этим и укажите в Фазе 2
Тут https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/multiple-subnets.html со слов Supernetting Example -
Если в.1 невозможен - стройте столько Фаз 2, сколько удаленных сетей надо роутить.
Зы. Вар.1 точно подойдет, если адресация ваша и удаленные НЕ СОВПАДАЕТ.
-
-
Вот настройки.
tcpdump показывает что трафик по пяти подсетям не идут в тунель.
Объединить подсети не получится будут пересечения с локальными.
В настройках как раз добавил 7 фаз под каждую подсеть. работают только две.
Доступа к настройкам CheckPoint нет. -
@ufd
Те Вы поднимаете 7 туннелей ? Все верно ?
и ipsec statusall показывает, что все 7 подняты ? верно ?
и на закладке /status/ipsec/ SPDs - тоже все ок ?какая адресация у удаленных сетей (всех семи ) ?
и какие правила файрвола на Lan интерфейсе ? все 7 этих сетей разрешены ?
и вот тут можно подетальнее
Объединить подсети не получится будут пересечения с локальными. -
Объединить подсети не получится будут пересечения с локальными
Перечень сетей давайте. Ваших и удаленных.
Покажите таблицу марш-ции на пф при всех поднятых туннелях.Зы. Смените язык пф на english. И никогда не пользуйте русский для вебки сетевого оборудования.
-
если объединить то можно уменьшить до 3-х
10.7.21/24
10.2.0.0/17
10.193.64.0/18пересечения идут с подсетями 10.0.10.0/24 10.0.11.0/24 10.241.24.40/32
-
-
@werter said in IPSEC site-to-site маршрутизация 7-ми подсетей.:
Покажите таблицу марш-ции на пф при всех поднятых туннелях.
-
@Konstanti
в SPDs также все эти сети отображаются.
если отключить те фазы которые работают после переподключения начинают работать другие две. так что настройки фаервола тут не причем. -
-
на стороне checkpoint вылезает ошибка
child sa exchange: peer's message is unacceptable -
-
@ufd
Давайте , еще раз
если оставить , к примеру , 3 любых фазы-2 , то все равно будут работать только 2 туннеля ? верно ?
на каком интерфейсе Вы запускали tcpdump ?
Попробуйте провести эксперимент , оставляем 3 работающих туннеля и проверяем работу . Если работают все 3 одновременно , то ок , добавляем следующий
если работают только два из трех , то запускаем tcpdump вот такой командой
tcpdump -netti enc0 host <здесь указываете ip адрес удаленного хоста из неотвечающей сети>если есть трафик , то покажите его тут . Просьба - не надо ничего замазывать , кроме белых ip адресов туннеля
-
@ufd said in IPSEC site-to-site маршрутизация 7-ми подсетей.:
child sa exchange: peer's message is unacceptable
В догонку
Почитал документацию на CheckpointВ ней указано , что на устройстве может быть включен режим
One VPN tunnel per subnet pair- Once a VPN tunnel has been opened between two subnets,
subsequent sessions between the same subnets will share the same VPN tunnel. This is the
default setting and is compliant with the IPSec industry standard.если я правильно понял , один туннель на пару подсетей ( похоже на Ваш случай )
есть другой режим работы
One VPN tunnel per each pair of hosts- A VPN tunnel is created for every session initiated
between every pair of hostsВозможно , что это то , что Вам нужно
ссылка (23 страница)
https://dl3.checkpoint.com/paid/94/CP_R75.20_VPN_AdminGuide.pdf?HashKey=1606165694_9662947a2c8b8f7294ef8f936b058f37&xtn=.pdf
