Как разрешить трафик трафик между несколькими тоннелями IPSec?
-
@dimm56 Вам бы теорию потянуть. Я Вам как советовал сделать? И по ссылке из доков.
Напоминаю,
0.0.0.0/0
А у Вас?? -
С теорией согласен и не отрицаю... Простите за невнимательность...
Спешу лишь по тому что сверху напрягают, помогите заставить это все работать и я спокойно и с удовольствием сяду учить мат. часть)))) Сейчас переделаю -
@dimm56 я же написал как надо.
0.0.0.0/0 это для моб клиентов
В настройках бинат тоже ошибка -
что изменить? где накосячил?) 0 вместо 24?
-
@dimm56 в бинате да.
-
Исправил.
-
@dimm56 у мобильных клиентов ошибку исправьте в маске и все должно заработать
-
Исправил
-
@dimm56 теперь все верно
-
нет соединения.... видим только локальную сеть...
-
При соединении в локалку "Диагностика-состояния - ipSEc" пишет:
IPsec tcp 10.0.200.1:49849 -> 192.168.6.27:80 FIN_WAIT_2:FIN_WAIT_2 4 / 2 180 B / 92 B
IPsec tcp 10.0.200.1:49851 -> 192.168.6.27:80 ESTABLISHED:ESTABLISHED 42 / 41
все соединяетсяА вот записей типа 10.0.200.1 -> 10.0.43.2 нигде не видно....
-
@dimm56 используйте tcpdump на enc0 интерфейсе (CLI) или packet capture на ipsec интерфейсе (WEBGUI)
Т е , в теории , Вы должны видеть картину
10.0.200.1->10.0.43.2
192.168.6.x ->10.0.43.2
10.0.43.2->192.168.6.x
10.0.43.2->10.0.200.1
из этого можно будет понять , где теряются пакеты -
Запустил "диагностика - захват пакетов" интерфейс ipsec, помимо регистрации моего входа в pfsense есть и такое:
21:12:21.521275 (authentic,confidential): SPI 0xc2c82f5e: IP 10.0.200.1.45020 > 192.168.6.27.6036: tcp 24
21:12:21.536430 (authentic,confidential): SPI 0xc2c82f5e: IP 10.0.200.1.46370 > 10.0.43.2.80: tcp 0
В локалку и обратно идут пакеты.
В тоннель нет и обратно нет....
По крайней мере, получается, что они хотя бы тоннели знают друг о друге))) -
@dimm56 Похоже , что этот вариант не работает в такой конфигурации
Но работает вариант со второй фазой2 с обеих сторон туннеля -
Печально.... Второй записи Ф2 на модеме сделать, к сожалению, не получиться....
-
Вот такую ещё статью нашел:
https://forum.netgate.com/topic/79016/route-traffic-between-ipsec-vpn-sites/4
Завтра попробую вникнуть и попробовать. -
@dimm56 сколько всего у Вас хостов в сети 192.168.6.0/24 ???
Попробуйте сделать так
1 мобильные клиенты получают , к примеру , адреса из диапазона 192.168.20.0/24
2 фаза2 со стороны PF - локальная сеть 192.168.0.0/16
- удаленная сеть 10.0.43.0/24
3 фаза2 со стороны модема - зеркальное отображение пункта 2т е всего будет одна фаза 2 на каждый туннель
-
Грубо, на вскидку, штук 60 с принтерами сетевыми и видео регистраторами.
-
@dimm56
Попробуйте то , что я написал выше -
Значит для /24 маска подсети 255.255.255.0?
А для /16 какая тогда будет? В модеме только маску можно указать.