Pfsense+juniper ipsec и маршрутизация сетей



  • Такой вопрос: есть стык между локалками по ipsec'у.
    первая локалка имеет подсеть 192.168.4.0/24 и она за pfsense.
    вторая локалка сначала имела 192.168.10.0/23 и был за juniper, а потом туда добавились ещё подсети 192.168.2.0/24, 192.168.101.0/24, 192.168.250.0/24. Надо бы объяснить pfsense, что обращения и к этим сетям, надо тоже завернуть в ipsec-туннель.
    При этом следует помнить, что подсеть 192.168.3.0/24 это третья локалка и обращения на неё заворачиваются в OpenVPN-туннель. Т.е. нет никаких смежных сетей.



  • Доброго.
    Ipsec - tun ?
    Juniper - остался или сменили на пф ?
    Добавьте в настройках ипсек на пф в фазу 2  ещё подсети 192.168.2.0/24, 192.168.101.0/24, 192.168.250.0/24

    При этом следует помнить, что подсеть 192.168.3.0/24 это третья локалка и обращения на неё заворачиваются в OpenVPN-туннель. Т.е. нет никаких смежных сетей.

    192.168.3.0/24  - за Juniper ? Роут к ней настраивается на впн-сервере пф и не имеет отношения к ипсек.



  • Ipsec - tun ?

    А ХЕЗ. Видимо tun. Это в фазе два? Написано Tunnel. Значит - tun.

    Juniper - остался или сменили на пф ?

    Увы. Не сменился. На кой чёрт он тут нужен - непонятно, но зато круто. С сенсом было бы на пару порядков проще. Хотя мысль о смене бродит.

    Добавьте в настройках ипсек на пф в фазу 2  ещё подсети 192.168.2.0/24, 192.168.101.0/24, 192.168.250.0/24

    В смысле, добавить ещё одну фазу два? Или в существующей фазе добавить сети?
    Если в существующую, то как это сделать? В существующей веб-морде это не делается.



  • 192.168.3.0/24  - за Juniper ? Роут к ней настраивается на впн-сервере пф и не имеет отношения к ипсек.

    Нет она за другим пфсенсом и изначально был туннель был только до этого сенса (это локалка удалённого цеха). Но теперь с неё тоже есть ipsec туннель до джунипера и как реликт, OpenVPN-туннель до сенса с четвертой подсетью. Если я врублюсь, как прописать дополнительные подсети на этом сенсе, то третью подсеть я перестрою аналогично. Ну, либо буду делать ещё один пфсенс, а джунипер будет выполнять роль L3-свича. Ибо задрал.



  • В смысле, добавить ещё одну фазу два? Или в существующей фазе добавить сети?
    Если в существующую, то как это сделать? В существующей веб-морде это не делается.

    Делается.  Кнопка "Add P2" На скриншоте - четыре phase2 добавлены на одну  phase1.
    Сети, кроме 10.0.2.0 - OpenVPN к pfSense, как site-to-site, так и Remote Access.

    А ХЕЗ. Видимо tun. Это в фазе два? Написано Tunnel. Значит - tun.
    В ipsec "tun" - это tunnel. "Не tun" - transport. Насколько я понимаю -  transport не является аналогам tap в Open VPN.




  • Ага… Понятно. Значит просто поднять нужное кол-во вторых фаз. Я-то просто думал, что всё в пределах одной второй фазы делается.
    А на той стороне что-то надо настраивать?



  • Доброго.
    Убирайте Juniper из схемы, если возможно. Разверните вместо него пф.  Иначе хлебнете горя с такой схемой.



  • А на той стороне что-то надо настраивать?

    Да, в случае ipsec настройки делаются с обеих сторон.
    В отличие от OpenVPN, где маршруты могут быть преданы сервером клиенту.



  • @werter:

    Доброго.
    Убирайте Juniper из схемы, если возможно. Разверните вместо него пф.  Иначе хлебнете горя с такой схемой.

    Не я эту хрень придумал, а начальство. Это они захотели "чтоб было круто", а не чтобы разумно и работоспособно. Не мне это и менять. Тем более, что я дорабатываю последние дни.



  • Доброго.

    Это они захотели "чтоб было круто"

    и

    Тем более, что я дорабатываю последние дни

    Тогда о чем речь вообще. Когнитивный диссонанс. Пускай те, кто хочет "круто" и разбираются.


Log in to reply