Проблема с доступом к ресурсам через ipsec



  • Есть один офис. Стоит pfsense 2.4.4, подсеть 192.168.0.0/24
    Есть несколько офисов, подключенные через ipsec к этому офису, на других концах в качестве роутеров pfsense, cisco, draytek и подсети 192.168.x.0/24
    Проблема следующая. В каждой подсети есть различные сервисы, как-то web, rdp, 1с сервера. Из подсети 192.168.0.0 в других подсетях всё доступно. Из других подсетей доступ по rdp и к серверу 1С есть, а к web серверам и по ssh линуксовым машинам нет. При этом пинг на соответствующие сервера есть. Если к сети подключаться через OpenVPN - все ресурсы доступны. Подскажите, в чём может быть проблема.



  • Правила фаервола на IPsec интерфейсе покажите, пожалуйста. Запустите packet capture на ipsec и на внутреннем интерфейсе c 192.168.0.0/24, отфильтровав трафик к вебсерверам и ssh - посмотрите, где затыкается прохождение пакетов. Возможно, имеет смысл выставить MSS clamping на 1300 в IPsec>Advanced (а также на других пирах ipsec), чтобы исключить фрагментацию пакетов.



  • 6dcb1c66-108c-453e-8c9b-36f24f8d8035-image.png



  • @vladimirlind said in Проблема с доступом к ресурсам через ipsec:

    Возможно, имеет смысл выставить MSS clamping на 1300 в IPsec>Advanced (а также на других пирах ipsec), чтобы исключить фрагментацию пакетов.

    Да, это помогло. Спасибо огромное!



  • Сталкивался с таким (
    У меня это был "привет" от провайдера на одном из концов туннеля ,к-ый выставил неверный mtu на своем оборудовании.

    Обнаружил в лоб ping-ом:

    ping -l xxxx -f -t y.y.y.y,

    где xxxx - размер пакета в байтах, y.y.y.y - ip-адрес на др. конце проблемного туннеля.
    xxxx уменьшаем (начиная, напр, с 1472 = 1500 - 28 ) до пропадания ошибки "Требуется фрагментация пакета, но установлен запрещающий флаг". Однако, есть и минус. Он в том, что завтра очередной "умник" может выставить неверное значение mtu на провайдерском оборудовании. И установка заведомо меньшего значения макс. размера пакета, как и было посоветовано выше, спасет ситуацию в этом случае.



  • @werter Если IPsec поверх adsl (c pppoe) пускать такая ситуация может возникнуть - pppоe отъедает 8 байт от езернетовского 1500. Или gre еще вкрутить - минус 24 байта.
    Не помню точно арифметику заголовков - но да, 1300 это оверкилл слегка. Кажется, в районе 1380 должна ошибка пропасть при пинге с флагом на запрет фрагментации.


  • Global Moderator

    @rodley максимальный размер payload можно определить с консоли pfsense:

    ping -D -g 1400 -G 1500 x.x.x.x

    где x.x.x.x - ip на другом конце туннеля
    вычитаете из полученного значения 20 и вот ваш MSS


Log in to reply