Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Draytek To Pfsense 2.2.6 ipsec problemi (pfsense to pfsense yine sorunlu)

    Scheduled Pinned Locked Moved Turkish
    12 Posts 3 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      serdar
      last edited by

      Herkese merhaba
      ipsec tarafında şöyle bir sorunum var
      merkez ve şube taraflarında modemler bridge mode da değil router modda
      500 ve 4500 portları pfsense wan bacağına ve draytek wan bacağına natlanmış

      draytek wan ip: 192.168.2.111 gw:192.168.2.1
      draytek lan ip :  192.168.122.1
      dsl modem wan ip : 78.xxx.xxx.xxx

      dsl modem 500 and 4500 nat to 192.168.2.111

      pfsense wan ip: 10.35.35.111 gw: 10.35.35.1
      pfsense lan ip : 192.168.1.1
      4500 and 500 nat to 10.35.1.111
      dsl modem wan ip: 78.xxx.xxx.xx

      şubede draytekte olsa pfsense te olsa yinede ip sec bağlanmıyor
      ama şubeyi yada merkezdeki modemi ppoe olarak ayarladığımda direk bağlanıyor.
      outbound nat tarafı autoda acaba manuele çekip bi ayarmı yapmak lazım
      genel forumdaki ipsec başlığı altınada konuyu açtım ama dönüş yapan yok.
      linki ve bütün ekran görüntüleri aşağıdadır.

      https://forum.pfsense.org/index.php?topic=112119.0

      1 Reply Last reply Reply Quote 0
      • T
        tcjackal
        last edited by

        merhaba,
        modemlerin marka, modelleri nedir ?
        router mod'da, dnat yapmak yerine, dmz ile pf wan ip tarafıma tüm trafiği yönlendirebilirisiniz.
        draytek modellerinin bazılarında, direk rj11 sonlandırma mevcut, kullanabilirsiniz. / ref. 2760 , 2860 vb.
        bazı modemlerde, firewall rolü aktif olabiliyor, dmz tarafını yapılandırırken, kapatmanız gerekebilir.

        1 Reply Last reply Reply Quote 0
        • S
          serdar
          last edited by

          zyxel ve airties
          dmz leri aktif edipte denedim aynı
          bu sorunu zaten lab ortamında gerçek ortamda da yaşıyorum yine aynı
          gerçek ortamda direk fiber tılgın ve cisco router olan modemlerde de aynı sorun var.
          rj11 olayına gerek yok zaten dsl olan hatları bridge mode a alınca sorunsuz bağlanabiliyor
          ama arada modem olupta port natlayınca yada dmz aktif edince ip sec oturmuyor
          sanırım merkez ve şubede router mode da olan modemler kullanılınca farklı bir ayar gerekli ama çözemedim

          1 Reply Last reply Reply Quote 0
          • T
            tcjackal
            last edited by

            tekrar merhaba,
            rj11 sonlandırma tarafında, draytek varsa ortamda, ek bir modem kullanmaya gerek kalmayacağını belirttim.
            prod. ve lab ortamında nasıl aynı sonucu alıyorsunuz ?
            trafiği dinlediğinizde çıktı  nedir ?

            1 Reply Last reply Reply Quote 0
            • S
              serdar
              last edited by

              rj11 sonlandırma yapamam
              bazı şubelerde fiber için direk router kullanılmakta
              yani 500 ve 4500 portlarıyla natlayabilirim pppoe kullanamayız.
              pfsense ten pfsense e aldıgım hata aşağıdaki gibidir

              ama 2 pfsense ten birinin modemini router mode dan bridge moda çekip pfsense te pppoe ile baglanınca direk bu ayarlarla bağlanabiliyor.

              v1 ayarlarında hiçbi sorun yok birebir aynı 2 tarafta

              ay 24 02:53:57 charon: 14[IKE] <con2000|131>received NAT-T (RFC 3947) vendor ID
              May 24 02:53:57 charon: 14[ENC] <con2000|131>generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
              May 24 02:53:57 charon: 14[NET] <con2000|131>sending packet: from 192.168.1.11[500] to 78.xxx.xxx.xx[500] (236 bytes)
              May 24 02:53:57 charon: 14[NET] <con2000|131>received packet: from 78.xxx.xxx.xx[500] to 192.168.1.11[500] (236 bytes)
              May 24 02:53:57 charon: 14[ENC] <con2000|131>parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
              May 24 02:53:57 charon: 14[IKE] <con2000|131>local host is behind NAT, sending keep alives
              May 24 02:53:57 charon: 14[IKE] <con2000|131>remote host is behind NAT
              May 24 02:53:57 charon: 14[ENC] <con2000|131>generating ID_PROT request 0 [ ID HASH ]
              May 24 02:53:57 charon: 14[NET] <con2000|131>sending packet: from 192.168.1.11[4500] to 78.xxx.xx.xx[4500] (68 bytes)
              May 24 02:53:57 charon: 14[NET] <con2000|131>received packet: from 78.xxx.xxx.xx[4500] to 192.168.1.11[4500] (84 bytes)
              May 24 02:53:57 charon: 14[ENC] <con2000|131>parsed INFORMATIONAL_V1 request 4191244139 [ HASH N(AUTH_FAILED) ]
              May 24 02:53:57 charon: 14[IKE] <con2000|131>received AUTHENTICATION_FAILED error notify</con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131>

              1 Reply Last reply Reply Quote 0
              • T
                tcjackal
                last edited by

                ipsec için, outbound nat tarafını manual'e alıp, karşı network blogu ve 500 port'u için kural oluşturarak, tekrar deneyin.

                1 Reply Last reply Reply Quote 0
                • S
                  serdar
                  last edited by

                  nat outbound rule o manuele çekip tekrardan vpn leri silip sıfırdan oluşturdum yine aynı hatayı alıyorum
                  parsed INFORMATIONAL_V1 request 2190592019 [ HASH N(AUTH_FAILED) ]
                  v1 tarafında farklı bi ayarmı yapmak gerek anlamadım

                  bu şekilde 2 taraftada modemleri router mode da kullanıp 500 ve 4500 portlarını natlayıp ip sec kullanıyor musun?

                  1 Reply Last reply Reply Quote 0
                  • T
                    tcjackal
                    last edited by

                    outbound nat tarafında, remote side ve ipsec port için yeni kural oluşturdunuz mu ?
                    kimlik doğrulama hatası alıyorsunuz, security mode ve phase'ları kontrol edin.
                    router mod'da, dnat yerine, dmz kullandım.
                    airties markasının bazı modelleri, pptp ve ipsec vpn trafiğini router mod'da geçirmemekte. çağrı merkezinden bu modelleri öğrenebiliyorsunuz.
                    kurumunuzun bütçe sıkıntısı yok ise, bu kadar uğraşmak yerine, 2 tane draytek ile direk çözüm üretebilirsiniz.

                    1 Reply Last reply Reply Quote 0
                    • B
                      b_onat
                      last edited by

                      Merhaba
                      Ben Pfsense 2.3 ile forti arasında ipsec baglantı yaptım pfsensenin baglı oldugu modem router modda idi modemdem portları actım pf ye dogru fortı brıdge modda ıdı bıraz ugrastım fakat sonra sorunu cozdum sorunsuz baglantı kurmustum burada ben bıraz arastırdım pfsense tarafında securıty key gırıgın yerde my ıp adres yazıyor oraya onun secmeyıp ıp adres secıp pfnın bulundugu dıs ıpyı yazarak sorunu cozmustum bılgıne

                      1 Reply Last reply Reply Quote 0
                      • S
                        serdar
                        last edited by

                        @tcjackal:

                        outbound nat tarafında, remote side ve ipsec port için yeni kural oluşturdunuz mu ?
                        kimlik doğrulama hatası alıyorsunuz, security mode ve phase'ları kontrol edin.
                        router mod'da, dnat yerine, dmz kullandım.
                        airties markasının bazı modelleri, pptp ve ipsec vpn trafiğini router mod'da geçirmemekte. çağrı merkezinden bu modelleri öğrenebiliyorsunuz.
                        kurumunuzun bütçe sıkıntısı yok ise, bu kadar uğraşmak yerine, 2 tane draytek ile direk çözüm üretebilirsiniz.

                        merkezde pfsense kullanmak varken neden üst başka bir çözüme gideyimki.
                        dmz i zaten kullanıyorum.
                        pfsense ten pfsense olan sorunu çözdüm
                        ama draytekten pfsense e sorun devam ediyor.

                        1 Reply Last reply Reply Quote 0
                        • S
                          serdar
                          last edited by

                          @b_onat:

                          Merhaba
                          Ben Pfsense 2.3 ile forti arasında ipsec baglantı yaptım pfsensenin baglı oldugu modem router modda idi modemdem portları actım pf ye dogru fortı brıdge modda ıdı bıraz ugrastım fakat sonra sorunu cozdum sorunsuz baglantı kurmustum burada ben bıraz arastırdım pfsense tarafında securıty key gırıgın yerde my ıp adres yazıyor oraya onun secmeyıp ıp adres secıp pfnın bulundugu dıs ıpyı yazarak sorunu cozmustum bılgıne

                          doğru olan ayar bahsettiğiniz ayar zaten.
                          şuan 2 tarafta router mode da ise pfsense ten pfsense e sorunsuz bağlanılıyor.
                          fakat draytekten pfsense e gelmiyor nedense
                          veya bridge mode dan router mode olan tarafada sorun yok.
                          dsl olan yerlerde sıkıntı yok bridge mode a alınabilir modem
                          en büyük sıkıntı direk fiber olan yerlerde statik ip ile bağlanılan şubelerde sorun oluyor. metro ethernet vs.

                          1 Reply Last reply Reply Quote 0
                          • T
                            tcjackal
                            last edited by

                            merkezde pfsense kullanmak varken neden üst başka bir çözüme gideyimki.

                            bu kanıya hangi cümlemden vardınız ?
                            draytekleri, vpn gateway veya modem olarak kullanabilirsiniz.
                            dmz zaten kullanıyorsanız, trafiği analiz ederek, iki tane snat kuralı oluşturmak zor olmasa gerek.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.