Разрешить трафик между OpenVpn, IpSec и локальной сетью



  • Не доходит.... Обьясните))) В связи со скоропостижной кончиной Ubuntu+OVPN+StrongSwan, экстренно был собран комп С PfSense. Все настройки сертификатов, ключей и т.п. нашел. В итоге - есть PfSense с интернетом. Подняты и работают OpenVPN (для мобильных клиентов) и IpSec (удаленные видеорегистраторы) каналы. Все подключается и клиенты OpenVPN и клиенты IpSec, но не видят ни локальной сети, ни друг друга... Что и где надо настроить? Заранее спасибо
    Локальная сеть: 192.168.6.0
    OpenVPN сети: 192.168.3.0, 192.168.0.0
    IpSec сети: 10.0.1.0-10.0.44.0



  • @dimm56
    Здр
    Проверьте для начала правила на IPSEC и Openvpn интерфейсах . По умолчанию все запрещено для входящего трафика . Надо создать разрешающие правила .
    Например , вот такое
    1ce1e753-185b-48af-90aa-eb6092f945a9-image.png

    И еще , поподробнее напишите , к чему и как должен быть получен доступ ?

    https://docs.netgate.com/pfsense/en/latest/vpn/openvpn/openvpn-remote-access-server.html

    https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/configuring-a-site-to-site-ipsec-vpn.html

    https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/ikev2-with-eap-tls.html



  • Подробности:
    За PfSense есть сеть офиса 192.168.6.0. (компы, принтеры, видеорегистраторы).
    Через pfSense Mobile IpSec подключены модемы Zyxel на удаленных точках, на них висят видеорегистраторы (сети 10.0.1.0-10.0.44.0).
    В pfSense по OpenVPN подключаются со смартфонов клиенты (сеть 10.0.201.0).
    Задача: Предоставить клиентам OpenVPN (10.0.201.0) доступ к видеорегистраторам сети 192.168.6.0 и сетей 10.0.1.0-10.0.44.0.

    В OpenVPN порт не стандартный! 9835, это все досталось по наследству от предыдущей настройки и что бы не менять настройки у всех клиентов, выставил этот порт у себя на сервере. все работает. Все подключаются. Может тут где проблемка?

    В интерфейсах WAN и LAN "Блокировать частные сети и адреса лупбека" галочка не стоит. Тут должно быть все ОК.

    wan.png ovpn.png lan.png ipsec.png



  • @dimm56

    1. Не вижу на wan интерфейсе правил , разрешающих подключение удаленных клиентов через ipsec (или у Вас Pfsense является инициатором ? )
      UDP 500,4500 и протокола ESP
      6c36fc0e-39fe-4301-93a5-c1d5c284cb40-image.png
    2. Как вы проверяете соединение удаленных клиентов ? У Вас разрешен только TCP на IPSEC и OPenVpn интерфейсах . Все остальные протоколы заблокированы . Они не нужны ? При этом все счетчики обнулены , это означает , что не было входящего трафика
    3. Зачем на WAN интерфейсе открыты все TCP порты ?
    4. Покажите или проверьте настройки IPSEC и Openvpn сервера ( посмотрите ссылки , что я указал , как настраивать удаленный доступ в PF для ipsec и openvpn)


  • Тогда лучше по порядку. Начнем с OVPN)))

    1. OpenVPN.
      Тип "Точка-Точка"
      tun-Leyer 3 Tunnel Mode.
      Интерфейс: WAN
      Порт: 9835
      Сеть тоннеля IPv4: 10.0.201.0/24
      Локальная сеть Ipv4: 192.168.6.0/24
      Клиенты подключаются. Адреса получают из диапазона 10.0.201.0/24.
      Из сети 192.168.6.0 в сеть 10.0.201.0 подключенные клиенты пингуются.
      Установил на планшет RDP. Свободно подключаюсь к серверу 192.168.6.70.
      В браузере могу попасть в pfSense по локальному адресу 192.168.6.49
      Это нормально? Так и должно работать?


  • @dimm56
    Ваши слова
    Все подключается и клиенты OpenVPN и клиенты IpSec, но не видят ни локальной сети, ни друг друга...

    Те клиенты OpenVpn локальную сеть видят ?????



  • Получается что да. Даже заглянул в лог подключения клиента OVPN, там в OPTIONS route 192.168.6.0 сразу подкидывается. Т.е. тут все хорошо? правильно?



  • @dimm56
    А в чем сомнения ? Вы же настроек не показываете , поэтому Вам должно быть виднее , все ли в порядке . Если клиенты видят сеть и могут обращаться к ее ресурсам, то да , по-видимому , все нормально .
    Давайте дальше



  • хорошо.
    IP sec
    1.png 2.png ![3.png]
    3.png
    (/assets/uploads/files/1553848932970-4.png)

    Пример настройки модема на удаленной точке
    Modem.png Modem2.png



  • @dimm56
    К сожалению , не все показали в настройке фазы 2 со стороны Pfsense , но допускаю , что там все верно . В чем тут проблема ?
    Связь 10.0.44.0/192.168.6.0 есть ??? хосты пингуются ??? Изображение с регистраторов есть ?



  • Хвост от фазы 2
    4.png

    Связь 10.0.44.0/192.168.6.0 - нет... ни пингов ни доступа из браузера



  • @dimm56 Опять не та картинка
    Нужна первая часть экрана , где сети настраиваются
    Туннель устанавливается ???? Или как ?
    Что показывает /Status/IPSEC ?



  • Фаза 2 сети
    3.png

    статус IpSec
    6.png



  • @dimm56 Так стоп
    Со стороны pf Вы настраиваете IPSEC как для удаленного доступа
    а со стороны zyxel настройки вижу как site to site
    В этом и проблема , фаза 1 установлена , а фаза 2 настроена некорректно



  • Отлично. Как это поправить?





  • Для тех кто на бронепоезде))) Т.е. для меня. Мне надо туннель настроить получается, а не мобильного клиента, что бы принимать соединения? просто на чтение и перевод с английского уйдет время, а я уже 4 день бьюсь без результата... Скоро подвесят меня на веревке прям в кабинете отдел СБ))) Если можно здесь и по русски кратко обьясни что сделать надо)))



  • @dimm56 да , верно
    удаляете , нафиг , все настройки мобильного клиента IPSEC
    и создаете туннель pf-zyxel как по инструкции

    https://it-blackbox.blogspot.com/2016/12/pfsense-ipsec.html



  • @Konstanti блин, а где я возьму адрес удаленного шлюза, т.е. адрес этого модема??? там статики нет, а кое где вообще GSM связь.... и у меня их много по району.... Я пытался уже так сделать... Не вышло... Только мобильный клиент дает возможность сделать настройку без указания удаленного шлюза.... По факту получается что модемы ищут наш адрес в сети и пытаются к нам подключится, если алгоритмы совпадут, то подключаться, если нет, то нет))))

    Или в удаленный шлюз можно написать 0.0.0.0 )))))



  • @dimm56 какая модель zyxel ?
    или ссылку на инструкцию для него



  • Zyxel 4G (KN-1210)



  • @dimm56 остался живым диск с Ubuntu ?
    Можно с него вытащить файл strongswan.conf ?
    он , скорее всего , лежит в директории /etc/strongswan

    скажу честно , задача не совсем простая , потому что изначально strongswan в pf не поддерживает опцию any , которая позволяет создать соединение с ip адреса , который может постоянно меняться . Вернее опция поддерживается , но в pf ее использование не предусмотрено. Для этого надо вносить изменения в конфигурационные файлы pfsense.
    Или , как вариант использовать DynDNS со стороны zyxel



  • Печалька... нет возможности дать адреса удаленным точкам...

    Конфиги есть у меня. Все.

    ipsec.conf - strongSwan IPsec configuration file

    basic configuration

    config setup

    strictcrlpolicy=yes

    uniqueids = no

    Add connections here.

    conn %default

    type=tunnel

    ikelifetime=60m

    keylife=20m

    rekeymargin=3m

    keyingtries=1

    keyexchange=ikev2

    leftauth=psk

    dpdaction=clear

    dpddelay=300s

    leftid=vpnserver1@jelen.tzb

    auto=add
    rightdns=8.8.8.8

    left=192.168.6.3

    leftsubnet=0.0.0.0/0

    right=%any

    conn stanislavskogo # Магазин. Станиславского. Для роутера Zyxel Keenetic Lite III. Можно использовать как шаблон.
    rightauth=psk
    rightid=stanislavskogo@video.jelen.tzb
    rightsubnet=10.0.2.0/24

    дальше уже идет список точек и их параметры....



  • @dimm56 said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

    right=%any

    Вот оно
    right=%any - о чем я писал выше (эта опция как раз в pf и не заложена)



  • @dimm56
    https://forum.netgate.com/topic/140685/4-wan-в-1-lan/45

    вот тут я писал , как это можно обойти



  • т.е. получается надо просто попасть в файле VPN.inc на pFsense и ручками допилить нужные строчки? Правильно?



  • @dimm56 верно



  • Огромное человеческое спасибо!!! Был бы ты рядом и руку пожал бы и поляну бы накрыл))) сегодня после работы попробую это дело провернуть. Если что - напишу о результатах тут. Уверен, что все должно получиться.



  • @dimm56 Рекомендация , прежде чем что-то "допиливать" в pf , сохраняйте оригинальные файлы
    Если все сделаете верно , то в настройке фазы 1 сможете указывать в поле Remote Gateway параметр any . Тогда pf создаст корректный для Вашего случая strongswan.conf c параметром right =%any



  • Еще вопрос. путь к этому файлу в pfsense как прописать?

    111.png



  • @dimm56 /etc/inc/vpn.inc



  • @Konstanti said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

    то в настройке фазы 1 сможете указывать в поле Remote Gateway параметр any . Тогда pf создаст корректный для Вашего случая strongswan.conf c параметром right =%any

    @Konstanti, будет ли эта конструкция работать, если IP удаленной стороны "серый"?



  • @pigbrother
    Должна (будет работать через порт 4500, если я Вас правильно понял)
    Я же ничего от себя не добавлял , все есть в strongswan-е изначально . Просто в pf не реализовано. Я этот пробел для себя устранил .



  • @Konstanti said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

    Должна (будет работать через порт 4500, если я Вас правильно понял)

    Прошу простить мою невежественность, просто я всегда пребывал в уверенности, что для установки Фазы 1 site-to-site IPSEC нужны "белые" IP-адреса с обеих сторон. У ТС, как я понимаю, со строны Кинетиков 3G\4G, для 3G\4G "белые" IP - большая редкость.



  • @pigbrother said in Разрешить трафик между OpenVpn, IpSec и локальной сетью:

    3G\4G

    Так потом-то они же в инет выходят через белый адрес ) А белый адрес в данном случае будет ANY , те любой . Тут я проблем не вижу , потому что по схожей схеме было и создано это решение (и отлаживалось тоже ) Если посмотреть чуть выше , именно это решение использовал администратор для подключения этих модемов к центральному роутеру .



  • @Konstanti Тогда единственным ограничением будет необходимость работы IPSEC на стороне PF в режиме responder?



  • @pigbrother Конечно , другого варианта нет .
    Опять же , смотрим файл вверху
    auto = add
    Для тс очень хорошая подсказка , как все должно получиться в итоге



  • Все привет. Файлик поправил. Пару раз накосячил с синтаксисом))) пару раз переустановил pfSense))) вообщем теперь дает возможность написать any. Что дальше?)))



  • @dimm56 а дальше пробуете создать туннель с любым модемом
    в фазе 1 ставите remote gateway any,
    как создадите любое тестовое соединение , покажите тут содержимое файла /var/etc/ipsec/strongswan.conf . Хочу посмотреть , что Вы наваяли
    И еще , пришлите мне на почту Ваш файл strongswan.conf(кусок которого тут был выложен) , со всеми настройками , чтобы я мог Вас направить в нужном направлении.
    И еще - верно я понимаю , что настройки модемов Вы не трогали ?



  • А может надо этот файлик? /var/etc/ipsec/ipsec.conf
    В /var/etc/ipsec/strongswan.conf ничего такого интересного нет)))


Log in to reply