1 из 30 IPSEC к центру работает странно.



  • Здравствуйте уважаемые формучане.

    Сразу к делу.

    Имеется центральный шлюз PFSENS 2.3.2 (MultiWan)  к которому по IPSEC подключены 30 объектов на SmoothWall Express 3.1.
    Тунели на центре делались путём копирования с подменой адресов - тобишь настройки на всех идентичны.
    29 работают нормально.
    1 некоректно а именно - пинг в обе стороны - ок, рдп - тоже, фтп - кое как проходит, SMB - ваще не понятно - иду по пути \192.168.1.1 открывает каталог с папками внутри и как только пытаюсь войти в любую - начинается 3-5 минутное раздумье и ИБД после - нет доступа типа (папка шаровая открыта для доступа всем)

    PfSense IPSEC настраивал по https://www.cyberciti.biz/faq/howto-site-to-site-ipsec-vpn-between-cisco-openbsd-router-pfsense/ мануалу.

    В рулзах центра и хромого объекта для IPSEC открыто всё.

    В случае если на центр встаёт шлюз от старого сисЬадмина на SmoothWall 3.1 Express - ситуация в корне меняется и всё работает нормально.
    SW3.1 - для целей не нужен вовсе, а PF полноценно не работает вот и стоит проект…..

    Прошу помочь знающих проблему людей, или предложить рациональное предположение )



  • Доброе.
    Что в логах fw при этом ? Попробуйте надампить пакетов и посмотреть.

    Зы. Не пересекается ли сетевая адресация у пф и проблемного филиала ?



  • @werter:

    Доброе.
    Что в логах fw при этом ? Попробуйте надампить пакетов и посмотреть.

    Зы. Не пересекается ли сетевая адресация у пф и проблемного филиала ?

    Не пересекается.

    Я только с виду такой умный.
    По какому критерию искать в логах при условию что внутри тунеля ограничений нет и в логах IPSEC ни разу не был замечен на блоке ?

    log.txt



  • А провйдеры и способы подключения у всех филиалов индеинтичны?
    Проблема может быть и в провайдере. Попробуйте глянуть MTU



  • @PbIXTOP:

    А провйдеры и способы подключения у всех филиалов индеинтичны?
    Проблема может быть и в провайдере. Попробуйте глянуть MTU

    Везде разный. Провайдеру моск проел - 2 дня их люди ковыряли канал и без толку. Сейчас проверил скорость - вниз 2 вверх 10. Я честно говоря на них и грешу более всего. Хоть знаний у меня не так много, но руки растут из правильного места и базово настроить пф это не так уж сложно, но если не провайдер виной тому, предположим….. Сейчас еду в филиал, последнее что осталось найти петлю или сторонний роутер или витая пара на крайняк коротит )))))



  • @Gamebeat:

    @PbIXTOP:

    А провйдеры и способы подключения у всех филиалов индеинтичны?
    Проблема может быть и в провайдере. Попробуйте глянуть MTU

    Везде разный. Провайдеру моск проел - 2 дня их люди ковыряли канал и без толку. Сейчас проверил скорость - вниз 2 вверх 10. Я честно говоря на них и грешу более всего. Хоть знаний у меня не так много, но руки растут из правильного места и базово настроить пф это не так уж сложно, но если не провайдер виной тому, предположим….. Сейчас еду в филиал, последнее что осталось найти петлю или сторонний роутер или витая пара на крайняк коротит )))))

    По приезду на место оказалось что на всех хостах внутри сети филиала скорость 2Мб. Опытным путём удалось установить что виной тому НОД32 (в чём конкретно его вина выясним позже). Деинсталяция с 2 подняла скорость до 10 Мб.
    Результат - РДП, ФТП и тп - работает ОТЛИЧНО.
    SMB не работает вообще, причём по IPSEC с центра в шаровую папку филиала я захожу нормально - чтение и запись работает. А из филиала в центр - нет.
    Скрин лога с фильтром по источнику запроса и целью в виде ИП с СМБ приложил. Но в чём загвоздка хочу понять…..






  • @werter:

    https://doc.pfsense.org/index.php/Asymmetric_Routing_and_Firewall_Rules

    Прочитал. Вник. Затестил - результат не изменился.



  • Всем спасибо за участие и помощь.
    Отдельное спасибо werter.

    Решение проблемы оказалось в снижении размера передаваемого пакета до 1300 а также путём добавления отдельного правила для лан из центра.

    werter - best