Вопрос от новичка
-
Всем добрый день.
Переезжаем на pfsense, собрал на гипервизоре тестовый стенд
Задача такая: комп через openvpn должен увидеть одну или несколько сетей после kerio control.
Комп(openvpn) --→ pfsense --→ kerio control (ipsec)
Комп получает адрес после установления соединения с pfsense 172.16.2.2
pfsense lan ip 172.16.1.1
kerio : 10.220.0.0/24, 10.200.0.0/24-
Пока получилось получить доступ с компов в локалке за pfsense (172.16.1.0/24) к необходимым сетям за Керио через настройки phase2
-
С компа за openvpn Пинг сети за керио не проходит. push "route 10.220.0.0 255.255.255.0" и push "route 10.200.0.0 255.255.255.0" указан в параметрах openvpn pfsense
tracert с компа (на втором шаге уходит к провайдеру):
Трассировка маршрута к 10.220.0.1 с максимальным числом прыжков 30
1 52 ms 30 ms 56 ms 172.16.2.1
2 37 ms 47 ms * 217.197.255.141
3 * * * *
где то не хватает маршрута, но так как новичок в pfsense - не могу понять где?Спасибо за идеи
-
-
@serg-3
Здр
Идея проста , покажите настройки фазы-2 ipsec
Думаю , что туннель IPSEC просто ничего не знает про сеть 172.16.2.0/24
Если это так , то надо
1 или добавить еще одну фазу-2
2 или модифицировать существующую фазу-2 , указав в качестве источника/назначения 172.16.0.0/16 (или 172.16.0.0/22 - если весь диапазон не нужен в туннеле попадут в него сети 16.1-16.3 ) на обеих сторонах туннеля ( как вариант ) -
@konstanti
как вы угадали, наверное знали :)
фаза 2: локальная сеть 172.16.2.0, удаленная сеть 10.220.0.1 и все заработало.
пинг взлетел
на самом деле плевая вещь. Спасибо за помощь) -
@serg-3 said in Вопрос от новичка:
→ pfsense --→ kerio control (ipsec)
Не поделитесь настройками? Делал такое лет 5 назад, со старой версией Керио. Предположу что настройки могли измениться.
-
@pigbrother
да я делал по мануалам в инете..
стенд тестовый . Ссылку вставить не дает, размещаю так
:
Имя - Любое, понятное вам
Галка "Включить данный туннель"
Пассивное - только принимает входящие подключенияВкладка Аутентификация
Предопределенный ключ - secretkey задаем и запоминаем
Локальный ИД - используем IP Kerio -1.1.1.1
Отдаленный ИД - используем IP pfSense 2.2.2.2Вкладка Удаленные сети
Указываем сеть за pfSense 10.0.2.0/24Вкладка Локальные сети
Указываем сеть за сеть за Kerio 192.168.0.0/24На этом богатство настроек IPSEC для Керио заканчивается.
На стороне pfSense:
VPN->PsecСоздаем phase 1:
Key Exchange version V1
Internet Protocol IPv4
Interface - Выбираем WAN, который, собственно получает IP 2.2.2.2
Remote Gateway Внешний IP Kerio 1.1.1.1
Authentication Method - Mutual PSK
Negotiation mode Main
My identifier My IP Address
Peer identifier Peer IP Address
Pre-Shared Key secretkey , заданный в настройках Kerio
Encryption Algorithm 3DES
Hash Algorithm SHA1
DH Group 5(1536 bit)
Lifetime (Seconds) 10800
Disable rekey НЕ отмечаем
Responder Only НЕ отмечаем
NAT Traversal AUTO
Dead Peer Detection НЕ отмечаемСоздаем phase 2:
Mode Tunnel IPv4
Local Network 10.0.2.0/24
NAT/BINAT translation[ b]None
Remote Network 192.168.0.0/24
Protocol ESP
Encryption Algorithms 3DES
Hash Algorithms SHA1
PFS key group off
Lifetime 3600
Automatically ping host - можно указать IP за Kerio, чтобы туннель поднимался автоматически.Firewall->Rules->IPsec
Добавляем каноническое правилоIPv4 * * * * * * none
Наблюдаем за статусом туннеля
Status->IPsec
После поднятия phase 2 сети должны стать взаимно доступны.
Примечание - пинга c самого pfSense в сеть за Kerio не будет, тестируйте с компьютера в LAN. -
@serg-3 said in Вопрос от новичка:
да я делал по мануалам в инете..
Интересно, откуда именно в инете.
Оригинал - мой пост 2106 года на этом форуме
:
https://forum.netgate.com/topic/104037/ipsec-site-to-site-%D0%BC%D0%B5%D0%B6%D0%B4%D1%83-pfsense-2-3-2-%D0%B8-kerio-control -
@pigbrother
ну как бы поднялось же )на самом деле много задач стоит с уходом gfi, а у меня несколько мест, где керио даже как ядро сети, есть даже сервак арендованный за бугром, где керио порядка 10 туннелей держит с разных мест, там ибо удобно все. самое ближайшее стал ПФ, а я его не видел лет 10..
-
-
@pigbrother gfi в России временно лицензии не продает. а так как скоро закончится одна из лицензий, приходится переходить
-
Добрый
@serg-3
Вы уточните в своей конторе, можно ли вам пф-то пользовать? Это ж американский продукт. -
@serg-3 said in Вопрос от новичка:
вот кстати сеть за pfsense не видится через такой туннель с компа за сетью с керио. Наоборот все ок, пинги есть, доступы есть.
В керио создано правило туннель pfsense - сеть за керио.
В pfsense создано правило ipsec разрешающее доступ (как в мануале - каноническое правило). В pfsence и керио указаны необходимые сети, фаза 1 и 2 поднимаются, статус туннеля connectedtracert с сети за pfsense к компу 192.168.5.1
1 <1 мс <1 мс <1 мс 172.16.1.1
2 <9 мс <7 мс <7 мс 192.168.5.3
3 <9 мс <8 мс <8 мс 192.168.5.1tracert с сети за керио (5.3 - шлюз керио) к компу 172.16.1.1:
1 <1 мс <1 мс <1 мс 192.168.5.3
2 * * * Превышен интервал ожидания для запроса. -
This post is deleted! -
@serg-3 said in Вопрос от новичка:
@serg-3 said in Вопрос от новичка:
вот кстати сеть за pfsense не видится через такой туннель с компа за сетью с керио. Наоборот все ок, пинги есть, доступы есть.
В керио создано правило туннель pfsense - сеть за керио.
В pfsense создано правило ipsec разрешающее доступ (как в мануале - каноническое правило). В pfsence и керио указаны необходимые сети, фаза 1 и 2 поднимаются, статус туннеля connectedtracert с сети за pfsense к компу 192.168.5.1
1 <1 мс <1 мс <1 мс 172.16.1.1
2 <9 мс <7 мс <7 мс 192.168.5.3
3 <9 мс <8 мс <8 мс 192.168.5.1tracert с сети за керио (5.3 - шлюз керио) к компу 172.16.1.1:
1 <1 мс <1 мс <1 мс 192.168.5.3
2 * * * Превышен интервал ожидания для запроса.в разрешающем ipsec правиле был указан протокол tcp. исправил, icmp забегал. после керио много что еще непонятно, справимся )...
-
@serg-3 said in Вопрос от новичка:
после керио много что еще непонятно, справимся ).
Пару раз приходилось тыкать в Керио. Аналогично, многое непривычно.
