Pfsense: Ipsec vti

dmshel80

Коллеги, Добрый день!
Есть несколько вопросов связанных с ipsec vti.
Version 2.7.2-RELEASE (amd64)
Настроен туннель ipsec vti до VPS (), с VPS пинг до Pfsense есть, из сети за pfsense адрес левой стороны туннеля тоже есть. Столкнулся с двумя проблемами, туннель периодически падает, а именно отваливается вторая фаза, если изменить AES (128 bits) на 256 может поработать и упасть, но через какое то время сам поднимется, либо ничего не менять и он сам восстановится, но в мониторинге будет down, как победить? keep alive галка стоит.
Второй вопрос, как завернуть список сетей/хостов в ipsec? пробовал через статические маршруты, пробовал правилами, не вышло, трасса уходит через провайдера или не идет с pfsense никуда)
Прошу подсказать, гугл смотрел но там в основном примеры опенвпн и моего случая не нашел)

Konstanti

@dmshel80
Здравствуйте

1 нужны журналы соединения для первичной диагностики падения ( желательно с обеих сторон туннеля)

2 варианты ( зависит от задач)
a. стат маршруты ( с обеих сторон)
б. PBR
в. возможно NAT

и , главное , при настройке пункта 2 используйте tcpdump в разных точках , чтобы видеть , что происходит

dmshel80

@Konstanti Приложил лог с обоих сторон в момент падения. Из лога вижу, что туннель работал, а через какое то время ему перестала нравиться фаза), потом он подумает и опять ее примет)

pfsense_log.txt strongswan_log.txt

Konstanti

@dmshel80
Первый вариант журнала был более информативным , тот где Вы пытались вручную фазу-2 активировать , в нем была ошибка , по которой есть темы в интернете , даже с ответами разработчика Strongswan. До конца не успел почитать , но поищите , что-то с настройками Nat/Binat в фазы-2 было связано

вот эта строка

Jul 10 08:03:09 charon 97282 09[IKE] <con1|14> received NO_PROPOSAL_CHOSEN notify, no CHILD_SA built

dmshel80

@Konstanti Да, я так и понял, нагуглил, наблюдаю пока, параллельно разбираюсь с маршрутизацией, не могу добиться того, что бы к сети например cisco.com трафик пошел через туннель, нагуглил большинство сетей, создал альяс засунул туда сети, пробовал через правило в лан пустить альяс через туннель, трафик или ушел через провайдера или застревает на pfsense при разных вариантах(

Konstanti

@dmshel80

Вы имеете доступ ко второму участника туннеля ???
Какая версия Pf ? Есть одно проприетарное решение для таких случаев ....

dmshel80

@Konstanti да, есть доступ
Version 2.7.2-RELEASE (amd64)
на левой стороне ubuntu c strongswan

Konstanti

@dmshel80

я бы рекомендовал с той стороны смотреть , что происходит
у меня так туннель настроен с Испанией ( GRE over IPsec ) и все работает , как мне надо ( Centos)
я написал свой собственный модуль ядра ( есть версия для PF 2_7_2 ( Freebsd 14.0) , который перехватывает все DNS ответы и ищет определенные шаблоны ( например , apple , Netflix и тд и тп ) , результат - ip адреса из этих ответов отправляет в нужные мне таблицы ( Алиасы) , а потом это можно использовать в правилах

как это выглядит в результате ( на примере Netflix)

[2.4.4-RELEASE][admin@ru.xxxxxxx.org]/root: kldstat -v | grep dnsp
 5    1 0xffffffff8322c000 f57a     dnsp.ko (./dnsp.ko)
		664 dnsp

по памяти , потребляет немного

dnsp_rec         74      10K       -       74  128
 table_rec         8        1K       -        8  64
 kernel_regex   303    87K       -      342  16,32,64,128,256,512

смотрю Netflix

если нужна помощь , напишите , готов все настроить для тестирования (если доверяете , то мне нужен будет доступ к консоли PF и Web интерфейсу)

dmshel80

@Konstanti Спасибо за наводку, добавил gre и полетело)

Konstanti

@dmshel80 Не забывайте про MTU/MSS на GRE/VTI интерфейсах

• GRE over IPSEC немного криво реализован именно в PF

dmshel80

@Konstanti а какие значения необходимы? подбирать?

Konstanti

@dmshel80
я ставлю 1400 MTU / 1386 MSS для gre

не знаю , насколько все это корректно

но вот , пакетики бегают

tcpdump -netti igb1 host 192.168.1.34
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on igb1, link-type EN10MB (Ethernet), capture size 262144 bytes
1720602976.247568 00:08:a2:0a:ff:73 > 58:d3:49:e2:54:30, ethertype IPv4 (0x0800), length 1400: 84.232.79.33.443 > 192.168.1.34.60446: Flags [.], seq 3538976888:3538978222, ack 2003595699, win 2051, options [nop,nop,TS val 2428846028 ecr 3109663200], length 1334
1720602976.247899 00:08:a2:0a:ff:73 > 58:d3:49:e2:54:30, ethertype IPv4 (0x0800), length 1400: 84.232.79.33.443 > 192.168.1.34.60446: Flags [.], seq 1334:2668, ack 1, win 2051, options [nop,nop,TS val 2428846028 ecr 3109663200], length 1334
1720602976.247949 00:08:a2:0a:ff:73 > 58:d3:49:e2:54:30, ethertype IPv4 (0x0800), length 1400: 84.232.79.33.443 > 192.168.1.34.60446: Flags [.], seq 2668:4002, ack 1, win 2051, options [nop,nop,TS val 2428846028 ecr 3109663200], length 1334

dmshel80

@Konstanti рано радовался я ))) трасса пошла через тунель, но вот странички выдают ERR_CONNECTION_TIMED_OUT

Konstanti

@dmshel80
1 mss - через iptables настраивали ? Может быть есть и другая технология со стороны Linux ( но я так настраивал)

2 tcpdump смотрите , что происходит

dmshel80

@Konstanti ip route add 10.10.10.0/24 dev tun10 advmss 1386 так задал на стороне убунты

Konstanti

@dmshel80

у меня вот так

для Ipsec тоже mss желательно настроить ( в Pf есть такая настройка)

dmshel80

@Konstanti ```
1720604893.427066 AF IPv4 (2), length 56: 172.19.200.1.50599 > 31.13.84.174.443: Flags [S], seq 4275518985, win 64240, options [mss 1346,nop,wscale 8,nop,nop,sackOK], length 0
1720604893.468692 AF IPv4 (2), length 56: 172.19.200.1.13825 > 31.13.84.174.443: Flags [S], seq 998540930, win 64240, options [mss 1346,nop,wscale 8,nop,nop,sackOK], length 0
1720604893.664104 AF IPv4 (2), length 33: 172.19.200.1 > 172.19.200.2: ICMP echo request, id 23760, seq 3394, length 9
1720604893.757353 AF IPv4 (2), length 33: 172.19.200.2 > 172.19.200.1: ICMP echo reply, id 23760, seq 3394, length 9
1720604894.165167 AF IPv4 (2), length 33: 172.19.200.1 > 172.19.200.2: ICMP echo request, id 23760, seq 3395, length 9
1720604894.258476 AF IPv4 (2), length 33: 172.19.200.2 > 172.19.200.1: ICMP echo reply, id 23760, seq 3395, length 9
1720604894.429298 AF IPv4 (2), length 56: 172.19.200.1.50599 > 31.13.84.174.443: Flags [S], seq 4275518985, win 64240, options [mss 1346,nop,wscale 8,nop,nop,sackOK], length 0
1720604894.431270 AF IPv4 (2), length 74: 172.19.200.1.13540 > 129.134.31.12.53: 858% [1au] A? instagram.com. (42)
1720604894.474822 AF IPv4 (2), length 56: 172.19.200.1.13825 > 31.13.84.174.443: Flags [S], seq 998540930, win 64240, options [mss 1346,nop,wscale 8,nop,nop,sackOK], length 0

Konstanti

@dmshel80

у вас пакеты не возвращаются обратно

разбирайтесь со второй стороной ))) все ли корректно настроено
1 Nat исходящий для 172.19.200.0/24 ?

dmshel80

@Konstanti Победил, не хватало iptables -A FORWARD -j ACCEPT))