Draytek To Pfsense 2.2.6 ipsec problemi (pfsense to pfsense yine sorunlu)



  • Herkese merhaba
    ipsec tarafında şöyle bir sorunum var
    merkez ve şube taraflarında modemler bridge mode da değil router modda
    500 ve 4500 portları pfsense wan bacağına ve draytek wan bacağına natlanmış

    draytek wan ip: 192.168.2.111 gw:192.168.2.1
    draytek lan ip :  192.168.122.1
    dsl modem wan ip : 78.xxx.xxx.xxx

    dsl modem 500 and 4500 nat to 192.168.2.111

    pfsense wan ip: 10.35.35.111 gw: 10.35.35.1
    pfsense lan ip : 192.168.1.1
    4500 and 500 nat to 10.35.1.111
    dsl modem wan ip: 78.xxx.xxx.xx

    şubede draytekte olsa pfsense te olsa yinede ip sec bağlanmıyor
    ama şubeyi yada merkezdeki modemi ppoe olarak ayarladığımda direk bağlanıyor.
    outbound nat tarafı autoda acaba manuele çekip bi ayarmı yapmak lazım
    genel forumdaki ipsec başlığı altınada konuyu açtım ama dönüş yapan yok.
    linki ve bütün ekran görüntüleri aşağıdadır.

    https://forum.pfsense.org/index.php?topic=112119.0



  • merhaba,
    modemlerin marka, modelleri nedir ?
    router mod'da, dnat yapmak yerine, dmz ile pf wan ip tarafıma tüm trafiği yönlendirebilirisiniz.
    draytek modellerinin bazılarında, direk rj11 sonlandırma mevcut, kullanabilirsiniz. / ref. 2760 , 2860 vb.
    bazı modemlerde, firewall rolü aktif olabiliyor, dmz tarafını yapılandırırken, kapatmanız gerekebilir.



  • zyxel ve airties
    dmz leri aktif edipte denedim aynı
    bu sorunu zaten lab ortamında gerçek ortamda da yaşıyorum yine aynı
    gerçek ortamda direk fiber tılgın ve cisco router olan modemlerde de aynı sorun var.
    rj11 olayına gerek yok zaten dsl olan hatları bridge mode a alınca sorunsuz bağlanabiliyor
    ama arada modem olupta port natlayınca yada dmz aktif edince ip sec oturmuyor
    sanırım merkez ve şubede router mode da olan modemler kullanılınca farklı bir ayar gerekli ama çözemedim



  • tekrar merhaba,
    rj11 sonlandırma tarafında, draytek varsa ortamda, ek bir modem kullanmaya gerek kalmayacağını belirttim.
    prod. ve lab ortamında nasıl aynı sonucu alıyorsunuz ?
    trafiği dinlediğinizde çıktı  nedir ?



  • rj11 sonlandırma yapamam
    bazı şubelerde fiber için direk router kullanılmakta
    yani 500 ve 4500 portlarıyla natlayabilirim pppoe kullanamayız.
    pfsense ten pfsense e aldıgım hata aşağıdaki gibidir

    ama 2 pfsense ten birinin modemini router mode dan bridge moda çekip pfsense te pppoe ile baglanınca direk bu ayarlarla bağlanabiliyor.

    v1 ayarlarında hiçbi sorun yok birebir aynı 2 tarafta

    ay 24 02:53:57 charon: 14[IKE] <con2000|131>received NAT-T (RFC 3947) vendor ID
    May 24 02:53:57 charon: 14[ENC] <con2000|131>generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
    May 24 02:53:57 charon: 14[NET] <con2000|131>sending packet: from 192.168.1.11[500] to 78.xxx.xxx.xx[500] (236 bytes)
    May 24 02:53:57 charon: 14[NET] <con2000|131>received packet: from 78.xxx.xxx.xx[500] to 192.168.1.11[500] (236 bytes)
    May 24 02:53:57 charon: 14[ENC] <con2000|131>parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
    May 24 02:53:57 charon: 14[IKE] <con2000|131>local host is behind NAT, sending keep alives
    May 24 02:53:57 charon: 14[IKE] <con2000|131>remote host is behind NAT
    May 24 02:53:57 charon: 14[ENC] <con2000|131>generating ID_PROT request 0 [ ID HASH ]
    May 24 02:53:57 charon: 14[NET] <con2000|131>sending packet: from 192.168.1.11[4500] to 78.xxx.xx.xx[4500] (68 bytes)
    May 24 02:53:57 charon: 14[NET] <con2000|131>received packet: from 78.xxx.xxx.xx[4500] to 192.168.1.11[4500] (84 bytes)
    May 24 02:53:57 charon: 14[ENC] <con2000|131>parsed INFORMATIONAL_V1 request 4191244139 [ HASH N(AUTH_FAILED) ]
    May 24 02:53:57 charon: 14[IKE] <con2000|131>received AUTHENTICATION_FAILED error notify</con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131></con2000|131>



  • ipsec için, outbound nat tarafını manual'e alıp, karşı network blogu ve 500 port'u için kural oluşturarak, tekrar deneyin.



  • nat outbound rule o manuele çekip tekrardan vpn leri silip sıfırdan oluşturdum yine aynı hatayı alıyorum
    parsed INFORMATIONAL_V1 request 2190592019 [ HASH N(AUTH_FAILED) ]
    v1 tarafında farklı bi ayarmı yapmak gerek anlamadım

    bu şekilde 2 taraftada modemleri router mode da kullanıp 500 ve 4500 portlarını natlayıp ip sec kullanıyor musun?



  • outbound nat tarafında, remote side ve ipsec port için yeni kural oluşturdunuz mu ?
    kimlik doğrulama hatası alıyorsunuz, security mode ve phase'ları kontrol edin.
    router mod'da, dnat yerine, dmz kullandım.
    airties markasının bazı modelleri, pptp ve ipsec vpn trafiğini router mod'da geçirmemekte. çağrı merkezinden bu modelleri öğrenebiliyorsunuz.
    kurumunuzun bütçe sıkıntısı yok ise, bu kadar uğraşmak yerine, 2 tane draytek ile direk çözüm üretebilirsiniz.



  • Merhaba
    Ben Pfsense 2.3 ile forti arasında ipsec baglantı yaptım pfsensenin baglı oldugu modem router modda idi modemdem portları actım pf ye dogru fortı brıdge modda ıdı bıraz ugrastım fakat sonra sorunu cozdum sorunsuz baglantı kurmustum burada ben bıraz arastırdım pfsense tarafında securıty key gırıgın yerde my ıp adres yazıyor oraya onun secmeyıp ıp adres secıp pfnın bulundugu dıs ıpyı yazarak sorunu cozmustum bılgıne



  • @tcjackal:

    outbound nat tarafında, remote side ve ipsec port için yeni kural oluşturdunuz mu ?
    kimlik doğrulama hatası alıyorsunuz, security mode ve phase'ları kontrol edin.
    router mod'da, dnat yerine, dmz kullandım.
    airties markasının bazı modelleri, pptp ve ipsec vpn trafiğini router mod'da geçirmemekte. çağrı merkezinden bu modelleri öğrenebiliyorsunuz.
    kurumunuzun bütçe sıkıntısı yok ise, bu kadar uğraşmak yerine, 2 tane draytek ile direk çözüm üretebilirsiniz.

    merkezde pfsense kullanmak varken neden üst başka bir çözüme gideyimki.
    dmz i zaten kullanıyorum.
    pfsense ten pfsense olan sorunu çözdüm
    ama draytekten pfsense e sorun devam ediyor.



  • @b_onat:

    Merhaba
    Ben Pfsense 2.3 ile forti arasında ipsec baglantı yaptım pfsensenin baglı oldugu modem router modda idi modemdem portları actım pf ye dogru fortı brıdge modda ıdı bıraz ugrastım fakat sonra sorunu cozdum sorunsuz baglantı kurmustum burada ben bıraz arastırdım pfsense tarafında securıty key gırıgın yerde my ıp adres yazıyor oraya onun secmeyıp ıp adres secıp pfnın bulundugu dıs ıpyı yazarak sorunu cozmustum bılgıne

    doğru olan ayar bahsettiğiniz ayar zaten.
    şuan 2 tarafta router mode da ise pfsense ten pfsense e sorunsuz bağlanılıyor.
    fakat draytekten pfsense e gelmiyor nedense
    veya bridge mode dan router mode olan tarafada sorun yok.
    dsl olan yerlerde sıkıntı yok bridge mode a alınabilir modem
    en büyük sıkıntı direk fiber olan yerlerde statik ip ile bağlanılan şubelerde sorun oluyor. metro ethernet vs.



  • merkezde pfsense kullanmak varken neden üst başka bir çözüme gideyimki.

    bu kanıya hangi cümlemden vardınız ?
    draytekleri, vpn gateway veya modem olarak kullanabilirsiniz.
    dmz zaten kullanıyorsanız, trafiği analiz ederek, iki tane snat kuralı oluşturmak zor olmasa gerek.


Log in to reply