IpSec туннели на три офиса глюки...
-
PF 2.2.4. Надо бы обновить...
Сейчас блока нет этого... -
@pigbrother said in IpSec туннели на три офиса глюки...:
И версия PF у вас явно не из свежих.
Извините за офтопик, но удаленно обновить его можно прямо через web интерфейс?
Он поднимется потом сразу? Или на место все-таки лучше ехать? -
@konstanti said in IpSec туннели на три офиса глюки...:
3 настроить OPENVPN туннель
Поднял OpenVPN туннель между B-C. вот уже около часа 2 пользователя на нем сидят - пока полет нормальный.
Заметил только что время пингов между B-C стало меньше. Да и визуально расшаренные ресурсы открываются заметно веселее, и, соответственно, все что в них.
Странно как-то...Сейчас читаю про GRE OVER IPSEC - если уж IpSec использую может еще и его попробовать.
-
@haliava Лучше не стоит . В PF свои нюансы в реализации этой технологии .
Только если в плане эксперимента и понимания , будет ли работа стабильной
По поводу скорости , в большинстве случаев моего опыта IPSEC был быстрее OPENVPN. При чем значительно .
Если обновитесь до 2.4.4 , то лучше попробуйте VTI
Получается , что я был прав , предположив , что какой-то трафик не заворачивался в туннель . Странно , что при этом A-B и A-C работали без проблем -
@konstanti said in IpSec туннели на три офиса глюки...:
Получается , что я был прав , предположив , что какой-то трафик не заворачивался в туннель . Странно , что при этом A-B и A-C работали без проблем
Очень на это похоже... Но A-B и A-C работают и сейчас без проблем.
Оставлю наверное пока так - попробую сначала обновить PF до 2.4.4, а потом уже попробую VTI.
я почитал про него - там получается как раз роуты прописывать можно явно - должно помочь...Спасибо
-
@konstanti said in IpSec туннели на три офиса глюки...:
Получается , что я был прав , предположив , что какой-то трафик не заворачивался в туннель
А может дело как раз в треугольнике. По сути у пакета из C в В два пути. C-B и C-A-B...
Да они с разной метрикой, но ХЗ как они разруливаются на PF IpSec...
надо ради интереса поднять еще один PF и устроить чистую звездочку с центром в А. -
@haliava Вы же в фазе 2 указываете точно , какой трафик уходит в туннель
у пакета из C в B один путь ) в туннель
другого пути нет - это особенность IPSEC .
ТОчно так же из C в А , не пойдет трафик через B
Поэтому и не надо настраивать статические маршруты
Но , по уму , если делать все маршрутизируемым , лучше сделать звездой , тут Вы правы. Только зачем еще один PF ?
Будет просто из B в C путь через А и наоборот -
@konstanti said in IpSec туннели на три офиса глюки...:
Вы же в фазе 2 указываете точно , какой трафик уходит в туннель
у пакета из C в B один путь ) в туннель
другого пути нет - это особенность IPSEC .Так оно, но у меня почему-то стойкое ощущение что именно маршрут не находится...
Может я и не прав. Не настаиваю.@konstanti said in IpSec туннели на три офиса глюки...:
Только зачем еще один PF ?
Сугубо для тестирования - чтобы не по живым пробовать. Люди должны работать...
-
@haliava said in IpSec туннели на три офиса глюки...:
Извините за офтопик, но удаленно обновить его можно прямо через web интерфейс?
Можно, но лучше не нужно, тем более с 2.2.4. на 2.4. Может потребоваться несколько промежуточных обновлений. Если у вас 2.2.4 - х86, то 2.4 вам обновлениями не получить, поддержка х86 заканчивается на 2.3.5
Удаленное администрирование роутера - к дальней дороге (с)
-
Доброго.
@Haliava
Если есть возможность - переходите на Openvpn. Гораздо гибче в настройках, удобнее в (централизованном) админстрировании (в случае схемы клиент-сервер), клиенты есть даже для "кофеварок".Есть куча инфы в инете по расчету MTU-MSS для IPSEC
Существует простой и эффективный способ вычисления MTU используя ping.
В Win - ping -l размер-пакета-в-байтах -f -t удаленный-адрес
Размер пакета в байтах подбираем от обратного (напр., 1500 байт), понижая до того момента, когда появится стабильный пинг без ошибок. Можно и скрипт с циклом перебора написать.Метод выручал и оправдывал себя не раз.
-
@werter said in IpSec туннели на три офиса глюки...:
В Win - ping -l размер-пакета-в-байтах -f -t удаленный-адрес
Размер пакета в байтах подбираем от обратного (напр., 1500 байт), понижая до того момента, когда появится стабильный пинг без ошибок. Можно и скрипт с циклом перебора написать.
Метод выручал и оправдывал себя не раз.Спасибо - попробую...
А по поводу перевода всех на OpenVPN - у меня куча клиентов IpSec удаленных на всех серверах...
Можно конечно, но надо крепко подготовиться.Я глянул, у меня в центральном офисе IpSec на PF поднят 8 лет назад, и до недавнего времени всех устраивал. Но вот нашла коса на камень....
