Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfsense-to-kerio (с балансировкой)

    Russian
    3
    7
    1.7k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      serg. 3
      last edited by

      Всем добрейшего!
      Есть первый Керио control с балансировкой (2 провайдера).
      К нему подключается по ipsec pfsense.
      После установления соединения м поднятия всех фаз2 - трафик ходит между керио и компаов за pfsense.
      Проходит 1/2/5 часов пинги не проходят. Смотрю в таблице маршрутов - вижу это (фото)

      Есть второй Керио control с балансировкой (2 провайдера).
      К нему подключается также по ipsec pfsense. Такой ерунды нет. Трафик ходит обоюдно, глюков не замечено, маршрута, подобного этому нет.
      Читал что это может быть из за балансировки (отказаться не могу от него) когда керио VPN в режиме пассив. А как pfsense перевести в режим пассив, пока не понимаю.Screenshot_10.jpg

      werterW 1 Reply Last reply Reply Quote 0
      • werterW
        werter @serg. 3
        last edited by

        Добрый
        @serg-3
        Рисуйте схему сети с адресацией.
        Керио ipsec vti умеет? Если да, то рекомендую ipsec vti + bgp или ospf.
        Зы. Идеальный вариант - отказаться от керио в пользу пф.

        S 1 Reply Last reply Reply Quote 0
        • S
          serg. 3 @werter
          last edited by

          @werter
          ipsec-vti не умеет,
          от керио отказаться увы, не смогу пока , легче тогда будет поднять на удаленной площадке ломаный керио

          А сам pfsense не умеет пассивный режим? Или только может быть инициатором подключения?

          K 1 Reply Last reply Reply Quote 0
          • K
            Konstanti @serg. 3
            last edited by Konstanti

            @serg-3

            35d2b143-04ff-4a46-84a4-29b1719e6e96-image.png

            Поясните , Пожалуйста , как IPSEC туннель может присутствовать в таблице маршрутов ? Это немаршрутизируемый тип соединения

            S 1 Reply Last reply Reply Quote 1
            • S
              serg. 3 @Konstanti
              last edited by

              @konstanti
              Screenshot_11.jpg

              у меня так, параметров таких нет (2.6.0)

              K 1 Reply Last reply Reply Quote 0
              • K
                Konstanti @serg. 3
                last edited by Konstanti

                @serg-3
                если я ничего не путаю , то из документации на Strongswan следует

                <child>.start_action
none
Action to perform after loading the configuration. 
The default of none loads the connection only, which then can be manually initiated or used as a responder configuration. 
The value trap installs a trap policy which triggers the tunnel as soon as matching traffic has been detected. The value start initiates the connection actively. 
These two modes can be combined with trap|start, to immediately initiate a connection for which trap policies have been installed.
When unloading or replacing a CHILD_SA configuration having a start_action different from none, the inverse action is performed. Configurations with start get closed while those with trap get uninstalled (both happens for connections with trap|start).

                что по умолчанию (как у Вас ) , то PF выступает , как ответчик (не инициатор )
                У меня версия несколько подревнее (да , простят меня некоторые форумчане )
                Покажите , Пожалуйста , какие есть опции выбора в настройках

                Child SA Start Action

                Child SA Close Action

                S 1 Reply Last reply Reply Quote 0
                • S
                  serg. 3 @Konstanti
                  last edited by

                  @konstanti
                  спасибо, да настройки здесь немного другие. перевел в режим None (Responer only). Спасибо.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.