IPSEC site-to-site маршрутизация 7-ми подсетей.


  • Добрый день.
    С одной стороны PFSENCE - с другой стороны ChecpPoint.
    Канал работает. Необходимо получить доступ к 7-ми подсетям на удаленной стороне.
    Одновременно работают только две.
    Настройки фазы 2:
    IKE Phase2: IKEv2
    IPSec Mode: Tunnel
    Encryption: AES (256 Bits) SHA-256
    Perfect Forward Secrecy (PFS): Group 5
    Hash: SHA-256
    Lifetime (Renegotiate IPSec): 3600-86400 sec
    подсеть для nat x.x.x.x/30

    Ошибок в логах не нашел. Видно только то что не все сети пробрасываются.
    Подскажите как заставить работать все 7 подсетей одновременно.


  • Добрый
    @ufd

    на удаленной стороне.

    За чекпоинтом?


  • 'Pfsense checkpoint ipsec' в гугле пробовали?


  • @werter Да, за чекпоинтом.


  • @werter через гугл и яндекс не нашел решения проблемы.


  • @ufd Здр
    1 Покажите , пож , настройки фазы 2 со стороны PF
    2 Покажите , пож , настройки фазы 2 со стороны Checkpoint
    3 можно используя tcpdump посмотреть какой трафик перехватывается ядром PFSense для отправки через туннель


  • @ufd
    В ipsec в режиме Routed (VTI)?


  • @werter
    Судя по тому , что указано в первом посту , ТС не имеет доступа к настройкам Checkoint


  • @ufd

    Необходимо получить доступ к 7-ми подсетям на удаленной стороне.

    1. Если сети на удал. стороне можно конкатенировать (объединить) с пом. маски подсети - воспользуйтесь этим и укажите в Фазе 2
      Тут https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/multiple-subnets.html со слов Supernetting Example

    2. Если в.1 невозможен - стройте столько Фаз 2, сколько удаленных сетей надо роутить.

    Зы. Вар.1 точно подойдет, если адресация ваша и удаленные НЕ СОВПАДАЕТ.


  • Вот настройки.
    add2fb23-f5bf-4572-9511-f91c21df8597-image.png 3746041c-ed48-4957-a925-c845baaf53dc-image.png
    tcpdump показывает что трафик по пяти подсетям не идут в тунель.
    Объединить подсети не получится будут пересечения с локальными.
    В настройках как раз добавил 7 фаз под каждую подсеть. работают только две.
    Доступа к настройкам CheckPoint нет.


  • @ufd
    Те Вы поднимаете 7 туннелей ? Все верно ?
    и ipsec statusall показывает, что все 7 подняты ? верно ?
    и на закладке /status/ipsec/ SPDs - тоже все ок ?

    какая адресация у удаленных сетей (всех семи ) ?
    и какие правила файрвола на Lan интерфейсе ? все 7 этих сетей разрешены ?
    и вот тут можно подетальнее
    Объединить подсети не получится будут пересечения с локальными.


  • @ufd

    Объединить подсети не получится будут пересечения с локальными

    Перечень сетей давайте. Ваших и удаленных.
    Покажите таблицу марш-ции на пф при всех поднятых туннелях.

    Зы. Смените язык пф на english. И никогда не пользуйте русский для вебки сетевого оборудования.


  • если объединить то можно уменьшить до 3-х
    10.7.21/24
    10.2.0.0/17
    10.193.64.0/18

    пересечения идут с подсетями 10.0.10.0/24 10.0.11.0/24 10.241.24.40/32



  • @werter said in IPSEC site-to-site маршрутизация 7-ми подсетей.:

    Покажите таблицу марш-ции на пф при всех поднятых туннелях.


  • @Konstanti
    в SPDs также все эти сети отображаются.
    если отключить те фазы которые работают после переподключения начинают работать другие две. так что настройки фаервола тут не причем.


  • 1cd27c4f-c3f9-4ebc-9ac3-f33ef1e90b1f-image.png


  • на стороне checkpoint вылезает ошибка
    child sa exchange: peer's message is unacceptable


  • @ufd

    Покажите таблицу марш-ции на пф при всех поднятых туннелях.

    Мил человек, последний раз.


  • @ufd
    Давайте , еще раз
    если оставить , к примеру , 3 любых фазы-2 , то все равно будут работать только 2 туннеля ? верно ?
    на каком интерфейсе Вы запускали tcpdump ?
    Попробуйте провести эксперимент , оставляем 3 работающих туннеля и проверяем работу . Если работают все 3 одновременно , то ок , добавляем следующий
    если работают только два из трех , то запускаем tcpdump вот такой командой
    tcpdump -netti enc0 host <здесь указываете ip адрес удаленного хоста из неотвечающей сети>

    если есть трафик , то покажите его тут . Просьба - не надо ничего замазывать , кроме белых ip адресов туннеля


  • @ufd said in IPSEC site-to-site маршрутизация 7-ми подсетей.:

    child sa exchange: peer's message is unacceptable

    В догонку
    Почитал документацию на Checkpoint

    В ней указано , что на устройстве может быть включен режим
    One VPN tunnel per subnet pair- Once a VPN tunnel has been opened between two subnets,
    subsequent sessions between the same subnets will share the same VPN tunnel. This is the
    default setting and is compliant with the IPSec industry standard.

    если я правильно понял , один туннель на пару подсетей ( похоже на Ваш случай )

    есть другой режим работы
    One VPN tunnel per each pair of hosts- A VPN tunnel is created for every session initiated
    between every pair of hosts

    Возможно , что это то , что Вам нужно
    ссылка (23 страница)
    https://dl3.checkpoint.com/paid/94/CP_R75.20_VPN_AdminGuide.pdf?HashKey=1606165694_9662947a2c8b8f7294ef8f936b058f37&xtn=.pdf


  • Вы оказались правы стояло One VPN tunnel per subnet pair-
    One VPN tunnel per each pair of hosts- попробовали - тоже не работает. Видимо на Checkpoint стоит ограничение по количеству таких сессий.


  • @ufd
    У CP ведь ПО обновить можно. Возможно, после этого появится возможность.

    Зы. Кстати, нек-ые CP "перешиваются" на пф (Checkpoint 2200 - точно, т.к. в нем обычный x86).


  • Всем спасибо.
    Заработало в режиме One VPN tunnel per Gateway pair