Доступ в локальную сеть Pfsense из сети за модемом Kennetic



  • Всем привет. Очередной вопрос от чайника)))
    Организованны ipsec тоннели между pfsense и модемами kennetic. Из локальной сети (192.168.6.0) за pfsense все тоннели видны и доступны, а вот наоборот нет.
    Для примера, модем тоннеля 10.0.56.1 , а компьютер 10.0.56.2 и попасть в сервер 192.168.6.70 он не может...
    Где и что необходимо настроить для корректной работы?



  • @dimm56 Покажите правила на IPSEC интерфейсе



  • Безымянный.png



  • @dimm56 Тут проблем быть не должно
    Используйте старую методику
    Например , Packet capture ( на lan или ipsec интерфейсах)
    и укажите хост обязательно , чтобы было видно приходит ли трафик от 56.1 и уходит ли дальше , возвращается ли и тд и тп



  • Понял. Принял. Буду пробовать)



  • Вот проблемная точка. Адрес сети 192.168.4.0/24
    Со стороны модема есть настройка маршрутов:
    смак_маршруты.png
    Писал не я, нашел записи изучая содержимое всех настроек модема. Маршруты вполне логичные, с высоты моих скудных знаний)))
    Трэйсрут дает вот что:
    смак1.png

    А вот на другой адрес, уже болт....
    смак3.png

    Со стороны pfsense попытка попасть на принт-сервер 192.168.4.3 получаем вот это:

    db6b5ef5-bea6-4421-8f66-9b5a24824769-image.png

    В настройке тоннеля Ф2 на pfSense, из за адресации этой сети 192.168.4.0, не удалось настроить для локальной сети и Ф2 в модеме адресацию 192.168.0.0/16... Может быть в этом проблема?

    смак4.png смак6.png



  • Добрый.

    Таблицу маршрутизации при поднятом ipsec на пф и на модеме покажите.
    И скрины правил Fw на LAN и IPSec пф и правил Fw на модеме (если есть).

    Вот проблемная точка. Адрес сети 192.168.4.0/24
    Со стороны модема есть настройка маршрутов:

    Второй роут на .6.0 разве руками добавлять ненадо. Модем должен при правильных настройках сам заворачивать в туннель все, что идет в .6.0. Попробуйте сохранить настройки и удалить этот маршрут.

    Проверьте у .6.70 в сетевых настройках что шлюзом стоит. Должен быть локальный адрес пф.



  • @werter Сорри , что влезаю ))
    Но в классическом ipsec-туннеле , по-моему, нет маршрутизации , в классическом смысле этого слова. Ядро берет все то , что попадает под селекторы траффика , шифрует и отправляет удаленной точке .
    Тому кто создал статический маршрут на модеме для IPSEC туннеля надо премию выдать
    Использовать в данном случае traceroute не совсем корректно
    Вот , пример ,

    f85d7ea6-6f0c-44df-bc13-43b6d6f1bec8-image.png



  • @Konstanti
    Модем у ТС должен сам все разруливать. Без "рук". При правильных настройках.

    Использовать в данном случае traceroute не совсем корректно

    Ping, telnet и traceroute - лучшие друзья одмина. Пользовать для первичной диагностики всегда и везде.
    Не надо начинать решение проблем с сложного, т.е. с конца. Иначе убъете кучу времени зазря.



  • @werter Этот триллер уже продолжается 2 недели ))
    Думаю , что проблема именно в модеме , но где не знаю

    traceroute не работает при ipsec туннеле ( или не будет работать корректно)

    Tcpdump здесь нужен на каждом из интерфейсов (wan,enc,lan) для начала



  • Все маршруты модема
    Момдем маршруты.png

    pfsense маршруты

    pfSense маршруты.png

    FW на интерфейсах:
    Lan FRW.png
    ipsec FWR.png

    На модеме FW пуст, проверял неоднократно.



  • @Konstanti

    Не соглашусь. Traceroute все равно. Другой вопрос , что в никсах трасер умеет (внезапно!) работать не только по ICMP.



  • @dimm56 Что такое сеть 192.168.4.0 /24 ? Откуда она взялась ???



  • @Konstanti
    Так это ж локалка ТС за зюхелем. Вроде.

    @dimm56
    Откуда этот маршрут "ручной" на .6.0 на зюхеле? Он сам это добавляет?



  • @werter По условия задачи сети за туннелем (удаленная сторона) начинались с 10.X.X.X .



  • Есть у меня подозрение что на конечных машинах за модемами надо скорее всего посмотреть что у них в сетевых настройках указанно в качестве шлюза.... Раньше роль VPN сервера выполняла машина с адресом 192.168.6.3, а теперь 192.168.6.49 т.к. этот адрес раньше принадлежал модему который интернет по офису раздавал. Вот я все вместе и соединил... и интернет и тоннели и все остальное в одном месте)))
    Надо мне скорее всего попать в мои точки удаленные и посмотреть что там и как настроено...



  • ТС, определись, что там у тебя за модемом происходит )

    @dimm56
    Скрин настроек 1-ой фазы ипсек на пф покажи.

    Надо мне скорее всего попать в мои точки удаленные и посмотреть что там и как настроено...

    Аммиадмин, тимвьювер (временно) на том конце запусти, зайди и глянь, что там за сеть(-и).

    Зы. Будет "кино", если у кого-то из филиалов адреса сетей совпадают )
    Атэта "сюрпрыз" будет.
    Для @PTZ-M , его "нач-ка" и иже с ними как раз реальный пример ситуации, когда пользовать на предприятии 192.168.X.0/24 = стрелять себе в ногу.



  • @werter Тут должно быть все ровно
    С сетью 192.168.4.0/24 надо разбираться
    За 2 недели ТС уже должен стать асом в настройке туннелей IPSEC, OPENVPN и мобильных клиентов на разных платформах



  • Спасибо за добрые слова, благодаря вам Я очень сильно прозрел по многим вопросам. И это здорово)))
    Есть у меня подозрение, что я вам просто голову морочию... Вполне возможно, что все гораздо проще.. поудалять все статические маршрут и проверить что стоит шлюзами на удаленных компах. Почему? Потому что есть у меня сервер, тот самый 192.168.6.70 и на нем как раз шлюз правильный - pfsense 192.168.6.49 и в него по RDP я легко попадаю, что из ipsec, что из ovpn. Есть еще микротик коммутатор в котором я шлюзом то же 6,49 выставил в него я то же попадаю, а вот все что не имеет шлюзом 192.168.6.49 мне недоступно... что вполне логично)



  • Для себя, ТС и всех причастных. Отличный цикл статей по сетям. Как раз завершился https://linkmeup.ru/sdsm/

    Спасибо за добрые слова, благодаря вам Я очень сильно прозрел по многим вопросам. И это здорово)))

    А если еще и english начнете пользовать в вебке пф - будете совсем молодец. Потому как офиц. дока пф-а точно не на русском. И блуждать в поисках пунктов меню, правильности перевода и т.д. тогда не прийдется.



  • @werter благодарствую, очень вовремя и по теме... так сказать не останавливаться на достигнутом!



  • @werter Хороший цикл статей , читал
    Вот бы такой мне попался лет 20 назад ))))
    Но , увы . Не было такого . Пришлось самому с Cisco разбираться . Книги купил и вперед



  • @dimm56
    Кстати, а ПО на зюхелях самое свежее? Проверяли?

    @Konstanti
    Да вы уже CCIE должны быть (или кто там самый крутой щас в их иерархии?) За 20 лет-то )



  • Вообщем доеду я на неделе на ближайшую точку удаленную, попробую оттуда что и как, тогда будет пища для размышлений....



  • @dimm56
    Ехать то спецом зачем? Вы на кажный филиал вот так выезжать будете? Дурное занятие.
    Я ж про аммиадмин\тимьювер писал выше (
    Попросите кого-то там запусить любой из на локальной машине и удаленно гляньте.



  • Таких точек у меня всего 2. И обе в пределах города. Заодно проверю что там и как с точки зрения размещения и работы оборудования, это то же на мне все висит, как на одмине(



  • @dimm56
    Разберитесь с адресацией на месте и переведите всех на dhcp. Кому нужен постоянный ip - привяжите по MAC. И рулить проще и возможности dhcp пользовать можно будет.



  • @werter said in Доступ в локальную сеть Pfsense из сети за модемом Kennetic:

    Таблицу маршрутизации при поднятом ipsec на пф и на модеме покажите.

    @Konstanti said in Доступ в локальную сеть Pfsense из сети за модемом Kennetic:

    Но в классическом ipsec-туннеле , по-моему, нет маршрутизации , в классическом смысле этого слова

    Да, ipsec не создает маршрутов, видимых в таблице маршрутизации. Я совсем не специалист в ipsec , но это так для PF, Микротик и, вероятно, для других ОС.

    @Konstanti said in Доступ в локальную сеть Pfsense из сети за модемом Kennetic:

    traceroute не работает при ipsec туннеле ( или не будет работать корректно)

    Странно, почему бы ему не работать, если пропускается весь трафик? У меня с машин в LAN работает и ping и трассировка в сторону сети за ipsec. При этом ping и трассировка не работают с самого PF .
    Вероятно - по этой причине:
    https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/accessing-firewall-services-over-ipsec-vpns.html

    Due to the way IPsec tunnels are kludged into the FreeBSD kernel, any traffic initiated by m0n0wall to go through an IPsec tunnel gets the wrong source IP (and typically doesn’t go through the tunnel at all as a result). Theoretically this shouldn’t be an issue for the server side of SNMP, but perhaps the server has a bug (well, deficiency, at least) where it doesn’t send the response out through a socket bound to the request packet. You can fake it out by adding a bogus static route to the remote end of the tunnel via the m0n0wall’s LAN IP (assuming that’s within the near-end tunnel range). A good test is to see whether you can ping something at the remote end of the tunnel (e.g. the SNMP remote) from the m0n0wall. There’s an annoying but mostly harmless side-effect to this - every LAN packet to the tunnel elicits a no-change ICMP Redirect.

    Тае что @dimm56 не стоит тестировать работу ipsec пингом с PF, а делать это с ПК в LAN.



  • Я поэтому и хочу по точкам проехать. DHCP настроить - да, к такой же мысли пришел. А то что с локалки и конечных точек достовернее соединения проверять то же уже понял (на работе сижу перед компом, а рядом планшет в тоннеле - на нем все и тестирую сразу) Это ещё одна причина съездить, убедиться что все работает и проблем на самом деле никаких нет) просто в перспективе у нас расширение скорее всего будет, я так понял купило наше руководство сеть других магазинов.... И возможно придётся не только видео оттуда транслировать ( спасибо вам всем, что помогли с этим разобраться!!!), но и рабочие сети организовывать (1С в RDP режиме от нас или может от них, пока не ясно). Вот и стараюсь заранее во всем разобраться и заставить работать т.к. потом тупить времени не будет....



  • @dimm56
    1С?
    Много и хорошо про 1С на Linux http://renbuar.blogspot.com/


Log in to reply