Подскажите пожалуйста про ipsec. (РЕШЕНО)



  • Задача:
    1. имеются несколько вторичных офисов с локальными сетями. Локальные сети все из разных диапазонов и все фэйковые. В качестве роутеров стоят PFSense.
    2. есть главный офис со своей ЛВС где в качестве роутера стоит FreeBSD.
    3. Необходимо сделать доступным всем вторичным офисам в доступ ЛВС главного офиса и наоборот. Но все вторичные офисы не могли видеть друг друга.

    Подскажите возможно это сделать? если да то куда копать и что использовать. какие программные средства.
    что надо настраивать на PFSense и как настроить?



  • Нужно создать туннели от вторичных сетей к основной. Чтобы были видимы офисы между собой, потребуется дополнительно создавать туннели между ними, поэтому без них видеть не будут.



  • ВПН от отделений к головному офису, топология звезда.
    http://old.nabble.com/ipsec-звездой-td27323873.html



  • @dvserg:

    ВПН от отделений к головному офису, топология звезда.
    http://old.nabble.com/ipsec-звездой-td27323873.html

    если трафик халявный и широкий от главного до вторичных - поддерживаю, самая простая схема



  • Спасибо, сейчас почитаю.
    Трафик внутригородской не лимитированный до 100Мбит.



  • Получилось запустить Звезду, все работает Замечательно с PFSens'ами.
    Но есть одна проблема которую не могу понять.

    Головной сервер - FreeBSD 7.2 на нам поднимаются IPSec'и до других роутеров в офисах.
    в офисах где стоят PFSens'ы все устанавливается и работает замечательно, а вот где стоят MonoWall'ы там не устанавливается соединение, не ошибок и не чего не пишет (каналы открыты без ограничений, все пакеты ходят).

    Пробовал за место головного сервера поставить PFSense и он без проблем устанавливает соединения как с MonoWall'ами так и с другими PFSens'ами. Смотрел уже конфиги на PFSense делал такиеже на сервере ФриБСД, все равно не устанавливаются соединения с Моноволами.
    Может есть у кого какии идеи с чем может быть это связано? чего не хватать может на сервере ФриБСД, уже вроде даже изменил sysctl.conf на такойже как в PFSense.

    Что нужно еще поглядеть, подскажите. т.к. PFSense соединяется и с моноволами, но долго перед этим думает, может сразу соединиться а может через час. А вот ФриБСД не хочет с ними устанавливать соединение ни в какую.

    Заранее спасибо!



  • какая-то у вас занятная зоология получается!
    может стоит привести весь свой зоопарк к какому-то общему знаменателю для простоты поддержки?



  • Есть суслиг? (syslog)



  • @deutsche:

    какая-то у вас занятная зоология получается!
    может стоит привести весь свой зоопарк к какому-то общему знаменателю для простоты поддержки?

    Да собираемся перевести везде все на PFSense, но просто коегде пока стоят совсем старенькие машинки, и PFSense они не потянут (

    В центральном офисе стоит БСД так как там используются не только как маршрутизатор но и Апач, сервер, ФТП и так далее.

    в скором времени все приведем к одному. Но просто интересно почему так получается -(



  • @dvserg:

    Есть суслиг? (syslog)

    Есть,

    Вот Моновол
    Feb 26 13:15:02 racoon: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
    Feb 26 13:15:02 racoon: INFO: @(#)This product linked OpenSSL 0.9.7d-p1 17 Mar 2004 (http://www.openssl.org/)
    Feb 26 13:15:02 racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=7)
    Feb 26 13:15:02 racoon: INFO: ххх.ххх.ххх.157[500] used as isakmp port (fd=8)
    Feb 26 13:15:02 racoon: INFO: 192.168.116.1[500] used as isakmp port (fd=9)

    Вот PFSense
    Feb 26 13:16:30 racoon: INFO: @(#)ipsec-tools 0.7.2 (http://ipsec-tools.sourceforge.net)
    Feb 26 13:16:30 racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
    Feb 26 13:16:30 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
    Feb 26 13:16:30 racoon: [Self]: INFO: ууу.ууу.ууу.11[500] used as isakmp port (fd=14)
    Feb 26 13:16:30 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
    Feb 26 13:16:30 racoon: [Self]: INFO: 192.168.100.1[500] used as isakmp port (fd=16)
    Feb 26 13:16:30 racoon: INFO: unsupported PF_KEY message REGISTER
    Feb 26 13:20:23 racoon: []: INFO: IPsec-SA request for ууу.ууу.ууу.126 queued due to no phase1 found.
    Feb 26 13:20:23 racoon: []: INFO: initiate new phase 1 negotiation: ууу.ууу.ууу.11[500]<=>ууу.ууу.ууу.126[500]
    Feb 26 13:20:23 racoon: INFO: begin Aggressive mode.
    Feb 26 13:20:23 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
    Feb 26 13:20:23 racoon: INFO: received Vendor ID: DPD
    Feb 26 13:20:23 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
    Feb 26 13:20:23 racoon: []: INFO: ISAKMP-SA established ууу.ууу.ууу.11[500]-ууу.ууу.ууу.126[500] spi:1621938b2ba7a236:aae5b5b41448de83
    Feb 26 13:20:24 racoon: []: INFO: initiate new phase 2 negotiation: ууу.ууу.ууу.11[500]<=>ууу.ууу.ууу.126[500]
    Feb 26 13:20:24 racoon: []: INFO: IPsec-SA established: ESP ууу.ууу.ууу.126[0]->ууу.ууу.ууу.11[0] spi=20220909(0x1348bed)
    Feb 26 13:20:24 racoon: []: INFO: IPsec-SA established: ESP ууу.ууу.ууу.11[0]->ууу.ууу.ууу.126[0] spi=35305564(0x21ab85c)

    Вот БСД
    2010-02-26 13:17:01: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
    2010-02-26 13:17:01: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
    2010-02-26 13:17:01: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
    2010-02-26 13:17:02: INFO: ххх.ххх.ххх.6[500] used as isakmp port (fd=5)
    2010-02-26 13:17:02: INFO: уу.ууу.ууу.126[500] used as isakmp port (fd=6)
    2010-02-26 13:19:43: INFO: respond new phase 1 negotiation: ууу.ууу.ууу.126[500]<=>ууу.ууу.ууу.11[500]
    2010-02-26 13:19:43: INFO: begin Aggressive mode.
    2010-02-26 13:19:43: INFO: received broken Microsoft ID: FRAGMENTATION
    2010-02-26 13:19:43: INFO: received Vendor ID: DPD
    2010-02-26 13:19:43: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
    2010-02-26 13:19:43: INFO: ISAKMP-SA established ууу.ууу.ууу.126[500]-ууу.ууу.ууу.11[500] spi:1621938b2ba7a236:aae5b5b41448de83
    2010-02-26 13:19:44: INFO: respond new phase 2 negotiation: ууу.ууу.ууу.126[0]<=>ууу.ууу.ууу.11[0]
    2010-02-26 13:19:44: INFO: IPsec-SA established: ESP/Tunnel ууу.ууу.ууу.11[0]->ууу.ууу.ууу.126[0] spi=35305564(0x21ab85c)
    2010-02-26 13:19:44: INFO: IPsec-SA established: ESP/Tunnel ууу.ууу.ууу.126[0]->ууу.ууу.ууу.11[0] spi=20220909(0x1348bed)

    Причом в PFSens'ском логе есть такая строчка
    Feb 26 13:20:23 racoon: []: INFO: initiate new phase 1 negotiation: ууу.ууу.ууу.11[500]<=>ууу.ууу.ууу.126[500]

    Вот я думаю это PFSEnse инициирует новую фазу, хотя конфиг ракуна там один в один что на БСД.
    за исключением вот этого в PFSense

    listen {
           adminsock "/var/db/racoon/racoon.sock" "root" "wheel" 0660;
    }

    Ну это ведь отвечает за то, на каких IP мы будем слушать.

    pfsense -> sockstat | grep racoon

    sockstat | grep racoon

    root     racoon     23560 9  stream /tmp/php-fastcgi.socket-3
    root     racoon     23560 10 dgram  -> /var/run/logpriv
    root     racoon     23560 12 stream /var/db/racoon/racoon.sock
    root     racoon     23560 14 udp4   127.0.0.1:500         :
    root     racoon     23560 15 udp4   ууу.ууу.ууу.11:500           :
    root     racoon     23560 16 udp4   192.168.100.1:500      :



  • Вот что нашел
    Соединение может быть инициировано простым пингом

    а на PFSense как раз через кронтаб делается просто пинг

    vi /tmp/tmpHOSTS

    192.168.15.1|192.168.200.1|3
    192.168.15.1|10.10.10.1|3

    и судя по описанию файла  /usr/local/bin/ping_hosts.sh

    Format of file should be deliminted by |

    #  Field 1:  Source ip
    #  Field 2:  Destination ip
    #  Field 3:  Ping count
    #  Field 4:  Script to run when service is down
    #  Field 5:  Script to run once service is restored
    #  Field 6:  Ping time threshold
    #  Field 7:  Wan ping time threshold

    и действия для пинга у IPSeca ни какого нет просто тупой пинг. Неужели при простом пинги инициируется поднятие соединения?



  • Да так и есть,  простым пингом вызывается инициация соединения, вот почему на PFSense в фйале /tmp/tmpHOSTS нет 4-й записи для запуска при неудачном пинге.

    Просто выполнил ping  с основного сервера до моноволов, и тут же везде стали подыматься IPSEC соединения.  остается себе в крон добавтть подобное что и на PFSense.

    Спасибо большое всем за помощь.



  • @xtc:

    Неужели при простом пинги инициируется поднятие соединения?

    IPSec tunnel поднимается при любом "интересном" трафике. Интересным является любой пакет с source и destination IP, принадлежащими данному IPSec тоннелю.



  • @Eugene:

    @xtc:

    Неужели при простом пинги инициируется поднятие соединения?

    IPSec tunnel поднимается при любом "интересном" трафике. Интересным является любой пакет с source и destination IP, принадлежащими данному IPSec тоннелю.

    Спасибо большое.


Log in to reply