Разрешить трафик между OpenVpn, IpSec и локальной сетью
-
@dimm56 У меня встречный вопрос - настройки модемов менялись (настройки IPSEC) ?
-
Нет. Все осталось как было. Я от них и плясал при настройке pfSense
-
@dimm56 Тогда вариант решения такой
1 надо клиентам Openvpn передать информацию об удаленных сетях с видеорегистраторами
2 по ссылке где были описаны изменения в файле vpn.inc есть ссылка , о том как добавить дополнительные сети в фазу 2 (с одной стороны , вторую сторону не трогаем ) -
Хорошо. Я понимаю, что достал уже множеством вопросов)))) А если не сложно, т.к. мозг мой уже плохо работает))) на пальцах мне обьяснить что и куда писать:
LAN 192.168.6.x
ipSec 10.0.x.x
OpenVpn 10.0.201.x
Видеорегистраторы сидят в сетях: LAN 192.168.6.x и ipSec 10.0.x.x. доступ к ним нужен из OpenVpn 10.0.201.x и LAN 192.168.6.x -
Все привет! в продолжении темы. Поднялся один тоннель, тот который находиться на связи при помощи 4G модема. Остальные в отказ, на любых настройках Ф1 и Ф2. Сегодня выяснилось, что все наши модемы висят на статических IP, что позволило, получив их адреса у провайдера, добраться до каждого из них и сделать tracert:
Маршруты одинаковые, но получается, что от модема к pfsense все проходит быстро и гладко, а вот из pfsense до модема, все встает на точке 10,1,190,165....
Можно было бы свалить это на настройки фаервола... но один то канал поднялся... и отлично работает, данные идут в обе стороны))) что мы собственно и видим в правилах:
Есть у кого нибудь мысли по этому поводу? Что с этим сделать?
-
@dimm56 Здр
а что такое 10.1.190.165 и что такое 10.1.190.166?
По логике - такой картинки через туннель не должно быть
И что Вы пытаетесь проверить ??? ( с какого адреса и до какого ? - я бы лучше использовал связку , например, ping и tcpdump - так проще найти проблемный участок )
88 байт для 500 или 4500 порта - маловато как-то трафика для установления соединения
5 правило - открывает вообще все порты на файрволе - ой и ай !!! OpenVpn у Вас на каком порту , протоколе работает ??? 9835 ? Вот его только и откройте
По поводу "в отказ" - надо логи изучать - начните со стороны PF ( лог IPSEC) , он расскажет Вам , в чем проблема .Rules are automatically added to the WAN to allow the tunnel to connect, but if the option to disable automatic VPN rules is checked, then manual rules may be required. In that case, check the WAN rules to ensure that the traffic from the remote peer is allowed. IPsec uses UDP port 500 and 4500, and protocol ESP (or AH if set that way). If there is trouble establishing a tunnel, check the firewall logs (Status > System Logs, Firewall tab), and if blocked packets from the peer appear in the log, add appropriate rules to allow that traffic.
Выделенное надо открыть на интерфейсе WAN
ICMP я бы тоже не все открывал , а только Echo Request и Destination unreachable -
Да OVPN работает на это порту 9835, специально не менял, что бы не менять настройки у мобильных клиентов.
Вот за это огромное спасибо!!! and protocol ESP (or AH if set that way)
добавил и проверяя настройки поднял еще тоннель. Надо видимо дальше так же внимательно проверять настройки и все должно заработать.Вот еще тоннель поднялся... Видимо отсутствие ESP и резало пакеты. А про это читал что Ipsec не любит NAT который заголовки IP меняет.... Но ESP эту проблему решает)))
Дайте немного времени поднять все тоннели. по результатам отпишусь. -
@dimm56
Я Вам про одно , Вы мне про другое
Я говорю , что у Вас на файрволе все открыто , и это безобразие надо привести в нормальный вид
Оставить открытыми только те порты и протоколы , которые используете в работе и все. Остальное заблокировать. У Вас получается открыты и 443 и 22 порты. -
Да, я понял. Видимо должно быть вот так:
Плюс к этому сменил порт обращения к pfSense с 80 на свой, другой.
-
Добрый вечер! Вообщем жизнь потихоньку налаживается Ipsec туннели работают. Уже хорошо)))
Вопрос:- Тестовый клиент клиент сети OVPN (10,0,201,4) входит по RDP на сервера локальной сети 192,168,6,0. Можно попасть из OVPN клиента через браузер на сам pfSense 192.168.6.49. НО при попытке из браузера зайти на другие адреса локальной сети 192.168.6.0 получает отказ.
Правила для OVPN:
Куда смотреть? Чего я еще не знаю? Что настраивать?)))
- Тестовый клиент клиент сети OVPN (10,0,201,4) входит по RDP на сервера локальной сети 192,168,6,0. Можно попасть из OVPN клиента через браузер на сам pfSense 192.168.6.49. НО при попытке из браузера зайти на другие адреса локальной сети 192.168.6.0 получает отказ.
-
@dimm56
Запускаете packet capture и смотрите, почему идёт сброс соединения.
Дальше, настоятельно рекомендую почитать, как настраивается файрвол. Вы создаёте правила, которые никогда работать не будут -
Я понимаю... Степень своей не осведомленности я уже осознал))) но работаю над этим с вашей помощью))) вообщем, что бы решить этот вопрос анализируем данные packet capture и копаемся в правилах настройки фаервола. Правильно?
-
@dimm56 нет, все не так
Работу файрвола изучает факультативно. Думаю, что тут проблема в другом. Нужен pcap файл для анализа происходящего -
Правило для LAN на OVPN-интерфейсе не рисуется. Оставьте на OVPN только * * * * * , остальные удалите.
Что у 192.168.6.27 шлюзом? Должен быть лок. адрес пф. У всех в сети 192.168.6.0 должен быть 192.168.6.49. Иначе доступ не получите.
Плюс у всех в сети 192.168.6.0 должна быть правильная маска (и на пф тоже) (как минимум /24). Иначе доступ не получите.
И если у вас на 192.168.6.27 веб-сервер - смотрите его настройки. Может там доступ не из локальной сети запрещен. Проверяйте.Можно попасть из OVPN клиента через браузер на сам pfSense 192.168.6.49
Это плохо. В будущем разрешайте досту к вебке пф только избранным.
-
Спасибо за ценные советы. Я учту все это в своей работе. Что есть сегодня: 1. Модемы keenetic надо обновлять или отключать обновления, если все уже и так работает стабильно. Кропотливо перебирая их настройки увидел желающих поставить обновления) и, о чудо, после обновления ещё пару тоннелей поднялись сами, хотя может просто помогла сама перезагрузка. 2. Модемы kennetic не очень любят изменения уже созданных vpn соединений без полной перезагрузки. Обновление и авто перезагрузка модема заставило поднять ещё пару каналов). Остальные каналы добил руками, просто удаляя и создавая подключения заново. На сегодняшний день остался только один тоннель который не хочет подниматься, но думаю и это решу. 3. Всегда и везде включайте правило проверки дохлых пиров, особенно на мобильных сетях и когда нет статики т.е. нет возможности попасть в модем при не работающем тоннеле, что бы модемы всегда старались восстановить подключение ( так я потерял один удаленный туннель на 4G канале и мне придется просить людей с ноутбуком ехать туда и дать мне доступ для его донастройки((((). 4. Модемы kennetic дают возможность создания бесплатных ddns адресов! Это первое что надо сделать при подключении к модему!! Тогда у вас всегда будет гарантированный резервный канал для связи. Плюс к этому очень интересно попробовать проглотил ли pfsense в поле "удаленный шлюз" Фаза 1 в качестве адреса ddns имя, а не чистый ip адрес. 5. Pfsense, keenetic - все используют strongswan, а значит, продолжая идею просто берём strongswan client for android и просто заставляем работать все это вместе))) apple клиенты и так имеют качественный встроенный vpn клиент, им ставить ничего не надо. Красота))) А openvpn будем использовать лишь для того, что бы дать доступ по rdp к 1С серверу. Получается тоже классно. Ipsec и openvpn каналы не связанный друг с другом и каждый получает что хочет. Безопасники свою сеть видеонаблюдения. Простые смертные пользователи))) доступ к 1С. План на выходные настройка мобильных android клиентов и уже окончательно решение данного вопроса.
-
@dimm56
Роутеры zyxel keenetic умеет прошивку PADAVAN, к-ая расширяет возможности (появл-ся openvpn и т.д.). Форум 4pda в помощь.Ps. Классные dyndns:
https://freemyip.com/
http://www.duckdns.org/На своем пф пользую ТРИ ddns-сервиса. На случай ,если какой-то из них "сдохнет". Openvpn на клиентах прекрасно умеет пользовать неск-ко имен сервера.
-
У нас keenetic lite 3. Тему же есть встроенный ovpn клиент. Да и встроенный в них ddns тоже хорошо работает. В качестве резервного канал у меня статика на адресе))) да и pf на статике висит. Со щвязь проблем нет, а вот настройка - да. Сейчас затык заставить работать без стороннего по на устройствах мобильные тоннели.
Вот рекомендации самого производителя: https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/configuring-an-ipsec-remote-access-mobile-vpn-using-ikev1-xauth.html
Настаиваю, настраиваю, а мой андроид подключаться все не хочет.... Печалька... -
@dimm56
https://bitbucket.org/padavan/rt-n56u/wiki/RU/Часто%20задаваемые%20вопросы#markdown-header-padavanэта прошивка уже использовала аппаратный offload для UDP WAN-трафика и Wi-Fi-трафика
Стандартная это умеет?
-
Честно скажу, не до конца понимаю о чем речь))) поэтому точно сказать не могу)
-
@dimm56 не мучайтесь, поставьте strongswan VPN client для Android. Прекрасно работает в связке с pf