CISCO2pfsense GRE tunnel

deutsche

просьба удалить тему

zar0ku1

Всего много в кучу написал, правила pf пока не нужны, netstat для ipv6 мог бы тоже вырезать

Проблема, что ты пингуешь с роутера (pfsense) и не пингуешь сеть за циской? а это из-за того, что нужно указывать с какого интерфейса пинговать, потому что он пытается пинговать по умолчанию со своего внешнего и не видит GRE тунель

покажи ifconfig на pfsense

поднялся ли сам тунель, то есть пингуется ли циска с пфсенса
ping -S 10.0.0.1 10.0.0.2

deutsche

изменил скрипт:

#!/bin/sh

Ip_Router=10.0.0.1
Ip_BR=10.0.0.2

RIp_Router=**.151.5.33
RIp_BR=**.85.238.133
vpn_netmask=255.255.255.252

mts_ip_BR=1.1.1.1
mts_netmask=255.255.255.248

corp_net=255.255.255.0
GGSN=1.1.1.2

win_server=192.168.1.10

ifconfig gre0 destroy
ifconfig gre0 create
ifconfig lo0 alias $Ip_Router
ifconfig gre0 $Ip_Router $Ip_BR netmask $vpn_netmask
ifconfig gre0 tunnel $RIp_Router $RIp_BR
route add $Ip_BR -iface gre0
route add $Ip_BR -netmask $vpn_netmask $Ip_Router

ping -S 10.0.0.1 10.0.0.2
PING 10.0.0.2 (10.0.0.2) from 10.0.0.1: 56 data bytes
ping: sendto: Operation not permitted
ping: sendto: Operation not permitted
ping: sendto: Operation not permitted
ping: sendto: Operation not permitted
ping: sendto: Operation not permitted
ping: sendto: Operation not permitted
ping: sendto: Operation not permitted
^C
--- 10.0.0.2 ping statistics ---
7 packets transmitted, 0 packets received, 100.0% packet loss

ifconfig
vr0: flags=8943 <up,broadcast,running,promisc,simplex,multicast>metric 0 mtu 1500
        options=2808 <vlan_mtu>ether 00:22:b0:53:6d:35
        inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
        inet6 fe80::222:b0ff:fe53:6d35%vr0 prefixlen 64 scopeid 0x1
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
        options=8 <vlan_mtu>ether 00:10:dc:4e:b6:12
        inet6
        inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
pflog0: flags=100 <promisc>metric 0 mtu 33204
lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
        inet 127.0.0.1 netmask 0xff000000
        inet6 ::1 prefixlen 128
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet 10.0.0.1 netmask 0xff000000
enc0: flags=0<> metric 0 mtu 1536
pfsync0: flags=41 <up,running>metric 0 mtu 1460
        pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
gre0: flags=9051 <up,pointopoint,running,link0,multicast>metric 0 mtu 1476
        tunnel inet **.151.5.33 --> **.85.238.133
        inet 10.0.0.1 --> 10.0.0.2 netmask 0xfffffffc
        inet6</up,pointopoint,running,link0,multicast></up,running></up,loopback,running,multicast></promisc></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu></up,broadcast,running,promisc,simplex,multicast> 

zar0ku1

Не понял

vr0: inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
rl0: inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255

эт как?

у тебя адсл модем не в бридже получается?

deutsche

@zar0ku1:

Не понял

vr0: inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
rl0: inet 192.168.0.2 netmask 0xffffff00 broadcast 192.168.0.255

эт как?

у тебя адсл модем не в бридже получается?

Ip роутера прописан как DMZ хост

–--
поставил как бридж - не помогло.

zar0ku1

лучше ставь бридж

потому что pfsense(роутер)-модем(роутер)-тунель-cisco, лучше лишний роутер(модем из схемы пока убрать)

покажи в бридже шасщташп и пинг

deutsche

sh gre.sh
route: writing to routing socket: File exists
add host 10.0.0.2: gateway gre0: route already in table
route: writing to routing socket: Network is unreachable
add net 10.0.0.2: gateway 10.0.0.1: Network is unreachable
route: writing to routing socket: Network is unreachable
add net 1.1.1.0: gateway 10.10.10.0: Network is unreachable
gre0: flags=9051 <up,pointopoint,running,link0,multicast>metric 0 mtu 1476
	tunnel inet **.151.5.33 --> **.85.238.133
	inet 10.0.0.1 --> 10.0.0.2 netmask 0xfffffffc 
	inet6 fe80::222:b0ff:fe53:6d35%gre0 prefixlen 64 scopeid 0x8 
   route to: 10.10.10.2
destination: default
       mask: default
    gateway: **.151.0.38
  interface: ng0
      flags: <up,gateway,done,static>recvpipe  sendpipe  ssthresh  rtt,msec    rttvar  hopcount      mtu     expire
       0         0         0         0         0         0      1492         0 
# ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1): 56 data bytes
36 bytes from 217.173.16.141: Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 47d6   0 0000  3c  01 d41a **.151.5.33  10.0.0.1 

36 bytes from 217.173.16.141: Destination Host Unreachable
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 5400 67c1   0 0000  3c  01 b42f **.151.5.33  10.0.0.1</up,gateway,done,static></up,pointopoint,running,link0,multicast> 

more gre.sh
#!/bin/sh

Ip_Router=10.0.0.1
Ip_BR=10.0.0.2

RIp_Router=**.151.5.33
RIp_BR=**.85.238.133
vpn_netmask=255.255.255.252

mts_ip_BR=1.1.1.1
mts_netmask=255.255.255.248

APN_corp=255.255.255.0
GGSN=1.1.1.2

WIN_server=192.168.1.10

ifconfig gre0 destroy
ifconfig gre0 create
#ifconfig lo0 alias $Ip_Router # ???
ifconfig gre0 $Ip_Router $Ip_BR netmask $vpn_netmask 
ifconfig gre0 tunnel $RIp_Router $RIp_BR
route add $Ip_BR -iface gre0
route add $Ip_BR -netmask $vpn_netmask $Ip_Router
route add -net 1.1.1.0 -netmask $APN_corp 10.10.10.0
ifconfig gre0 
route get 10.10.10.2

ifconfig

vr0: flags=8943 <up,broadcast,running,promisc,simplex,multicast>metric 0 mtu 1500
	options=2808 <vlan_mtu>ether 00:22:b0:53:6d:35
	inet 192.168.1.1 netmask 0xffffff00 broadcast 192.168.1.255
	inet6 fe80::222:b0ff:fe53:6d35%vr0 prefixlen 64 scopeid 0x1 
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
	options=8 <vlan_mtu>ether 00:10:dc:4e:b6:12
	inet6 fe80::210:dcff:fe4e:b612%rl0 prefixlen 64 scopeid 0x2 
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
pflog0: flags=100 <promisc>metric 0 mtu 33204
lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
	inet 127.0.0.1 netmask 0xff000000 
	inet6 ::1 prefixlen 128 
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 
enc0: flags=0<> metric 0 mtu 1536
pfsync0: flags=41 <up,running>metric 0 mtu 1460
	pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1492
	inet <**.151.5.33 --> **.151.0.38 netmask 0xffffffff 

gre0: flags=9051 <up,pointopoint,running,link0,multicast>metric 0 mtu 1476
	tunnel inet **.151.5.33 --> **.85.238.133
	inet 10.0.0.1 --> 10.0.0.2 netmask 0xfffffffc</up,pointopoint,running,link0,multicast></up,pointopoint,running,noarp,simplex,multicast></up,running></up,loopback,running,multicast></promisc></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu></up,broadcast,running,promisc,simplex,multicast> 

deutsche

верся pfsense 1.2.2

zar0ku1

Да дело не в pfsense, ты как-то неправильно тунель поднимаешь, просто сходу ответить не могу
и у rl0 не увидел ip

deutsche

ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1492
inet **.151.5.33 –> **.151.0.38 netmask 0xffffffff
На роутере поднимается pppoe. (Теперь модем-то бриджем)</up,pointopoint,running,noarp,simplex,multicast>

Eugene

Похоже опять та же проблема - PPTP over PPPoE?
Я бы наверное всё-таки попробовал настроить в режиме, когда modem заботится о PPPoE. Одним PPP на pfSense меньше.
deutsche, а что тебя подвинуло писать скрипты? Не полусчилось поднять WAN c type=PPTP?

deutsche

@Eugene:

Похоже опять та же проблема - PPTP over PPPoE?
Я бы наверное всё-таки попробовал настроить в режиме, когда modem заботится о PPPoE. Одним PPP на pfSense меньше.
deutsche, а что тебя подвинуло писать скрипты? Не полусчилось поднять WAN c type=PPTP?

Не нужен WAN over PPTP, тогда не будет доступа во всемирную паутину(он необходим, а второтого канала нет и е предвитдтися), т.к. VPN сеть чисто корпоративная.

Eugene

Da, erundu skazal. Kakov u tebya tekuschiy config? Sootvetstvuyet diagramme iz pervogo posta?

deutsche

@Eugene:

Da, erundu skazal. Kakov u tebya tekuschiy config? Sootvetstvuyet diagramme iz pervogo posta?

конфиг внешних сетей не менялся. пока настроено с PPPOE. Завтра опять буду пробовать с DMZ.

Eugene

Когда ты сказал

Со стороны сотрудников трафик(пинги)  идет до адреса 1.1.1.1.

ты имел ввиду что с компьютера в 192.168.1.10 ping на 1.1.1.1 был успешен?

deutsche

Я имел в виду удаленных, из сети 10.10.10.0/24

Eugene

Значит, похоже, тоннель никогда не поднимался.
Скрипты это хорошо, но тут есть ещё один подводный камень. Что делать с правилами? Придётся тоже динамически прописывать, при чём каждый раз, когда что-то меняешь в gui.
А что мешает поднять нормальный ipsec?
Или если уж нужен GRE тогда на мой взгляд проще использовать чистый FreeBSD без всяких pfSense'ов.

zar0ku1

тунель тут 100% не поднимался

PPPoE это сурово… на было опыта  у меня в ptpp через pppoe