Подскажите пожалуйста про ipsec. (РЕШЕНО)
-
Задача:
1. имеются несколько вторичных офисов с локальными сетями. Локальные сети все из разных диапазонов и все фэйковые. В качестве роутеров стоят PFSense.
2. есть главный офис со своей ЛВС где в качестве роутера стоит FreeBSD.
3. Необходимо сделать доступным всем вторичным офисам в доступ ЛВС главного офиса и наоборот. Но все вторичные офисы не могли видеть друг друга.Подскажите возможно это сделать? если да то куда копать и что использовать. какие программные средства.
что надо настраивать на PFSense и как настроить? -
Нужно создать туннели от вторичных сетей к основной. Чтобы были видимы офисы между собой, потребуется дополнительно создавать туннели между ними, поэтому без них видеть не будут.
-
ВПН от отделений к головному офису, топология звезда.
http://old.nabble.com/ipsec-%D0%B7%D0%B2%D0%B5%D0%B7%D0%B4%D0%BE%D0%B9-td27323873.html -
ВПН от отделений к головному офису, топология звезда.
http://old.nabble.com/ipsec-%D0%B7%D0%B2%D0%B5%D0%B7%D0%B4%D0%BE%D0%B9-td27323873.htmlесли трафик халявный и широкий от главного до вторичных - поддерживаю, самая простая схема
-
Спасибо, сейчас почитаю.
Трафик внутригородской не лимитированный до 100Мбит. -
Получилось запустить Звезду, все работает Замечательно с PFSens'ами.
Но есть одна проблема которую не могу понять.Головной сервер - FreeBSD 7.2 на нам поднимаются IPSec'и до других роутеров в офисах.
в офисах где стоят PFSens'ы все устанавливается и работает замечательно, а вот где стоят MonoWall'ы там не устанавливается соединение, не ошибок и не чего не пишет (каналы открыты без ограничений, все пакеты ходят).Пробовал за место головного сервера поставить PFSense и он без проблем устанавливает соединения как с MonoWall'ами так и с другими PFSens'ами. Смотрел уже конфиги на PFSense делал такиеже на сервере ФриБСД, все равно не устанавливаются соединения с Моноволами.
Может есть у кого какии идеи с чем может быть это связано? чего не хватать может на сервере ФриБСД, уже вроде даже изменил sysctl.conf на такойже как в PFSense.Что нужно еще поглядеть, подскажите. т.к. PFSense соединяется и с моноволами, но долго перед этим думает, может сразу соединиться а может через час. А вот ФриБСД не хочет с ними устанавливать соединение ни в какую.
Заранее спасибо!
-
какая-то у вас занятная зоология получается!
может стоит привести весь свой зоопарк к какому-то общему знаменателю для простоты поддержки? -
Есть суслиг? (syslog)
-
какая-то у вас занятная зоология получается!
может стоит привести весь свой зоопарк к какому-то общему знаменателю для простоты поддержки?Да собираемся перевести везде все на PFSense, но просто коегде пока стоят совсем старенькие машинки, и PFSense они не потянут (
В центральном офисе стоит БСД так как там используются не только как маршрутизатор но и Апач, сервер, ФТП и так далее.
в скором времени все приведем к одному. Но просто интересно почему так получается -(
-
Есть суслиг? (syslog)
Есть,
Вот Моновол
Feb 26 13:15:02 racoon: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
Feb 26 13:15:02 racoon: INFO: @(#)This product linked OpenSSL 0.9.7d-p1 17 Mar 2004 (http://www.openssl.org/)
Feb 26 13:15:02 racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=7)
Feb 26 13:15:02 racoon: INFO: ххх.ххх.ххх.157[500] used as isakmp port (fd=8)
Feb 26 13:15:02 racoon: INFO: 192.168.116.1[500] used as isakmp port (fd=9)Вот PFSense
Feb 26 13:16:30 racoon: INFO: @(#)ipsec-tools 0.7.2 (http://ipsec-tools.sourceforge.net)
Feb 26 13:16:30 racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
Feb 26 13:16:30 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
Feb 26 13:16:30 racoon: [Self]: INFO: ууу.ууу.ууу.11[500] used as isakmp port (fd=14)
Feb 26 13:16:30 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
Feb 26 13:16:30 racoon: [Self]: INFO: 192.168.100.1[500] used as isakmp port (fd=16)
Feb 26 13:16:30 racoon: INFO: unsupported PF_KEY message REGISTER
Feb 26 13:20:23 racoon: []: INFO: IPsec-SA request for ууу.ууу.ууу.126 queued due to no phase1 found.
Feb 26 13:20:23 racoon: []: INFO: initiate new phase 1 negotiation: ууу.ууу.ууу.11[500]<=>ууу.ууу.ууу.126[500]
Feb 26 13:20:23 racoon: INFO: begin Aggressive mode.
Feb 26 13:20:23 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Feb 26 13:20:23 racoon: INFO: received Vendor ID: DPD
Feb 26 13:20:23 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
Feb 26 13:20:23 racoon: []: INFO: ISAKMP-SA established ууу.ууу.ууу.11[500]-ууу.ууу.ууу.126[500] spi:1621938b2ba7a236:aae5b5b41448de83
Feb 26 13:20:24 racoon: []: INFO: initiate new phase 2 negotiation: ууу.ууу.ууу.11[500]<=>ууу.ууу.ууу.126[500]
Feb 26 13:20:24 racoon: []: INFO: IPsec-SA established: ESP ууу.ууу.ууу.126[0]->ууу.ууу.ууу.11[0] spi=20220909(0x1348bed)
Feb 26 13:20:24 racoon: []: INFO: IPsec-SA established: ESP ууу.ууу.ууу.11[0]->ууу.ууу.ууу.126[0] spi=35305564(0x21ab85c)Вот БСД
2010-02-26 13:17:01: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
2010-02-26 13:17:01: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
2010-02-26 13:17:01: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2010-02-26 13:17:02: INFO: ххх.ххх.ххх.6[500] used as isakmp port (fd=5)
2010-02-26 13:17:02: INFO: уу.ууу.ууу.126[500] used as isakmp port (fd=6)
2010-02-26 13:19:43: INFO: respond new phase 1 negotiation: ууу.ууу.ууу.126[500]<=>ууу.ууу.ууу.11[500]
2010-02-26 13:19:43: INFO: begin Aggressive mode.
2010-02-26 13:19:43: INFO: received broken Microsoft ID: FRAGMENTATION
2010-02-26 13:19:43: INFO: received Vendor ID: DPD
2010-02-26 13:19:43: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
2010-02-26 13:19:43: INFO: ISAKMP-SA established ууу.ууу.ууу.126[500]-ууу.ууу.ууу.11[500] spi:1621938b2ba7a236:aae5b5b41448de83
2010-02-26 13:19:44: INFO: respond new phase 2 negotiation: ууу.ууу.ууу.126[0]<=>ууу.ууу.ууу.11[0]
2010-02-26 13:19:44: INFO: IPsec-SA established: ESP/Tunnel ууу.ууу.ууу.11[0]->ууу.ууу.ууу.126[0] spi=35305564(0x21ab85c)
2010-02-26 13:19:44: INFO: IPsec-SA established: ESP/Tunnel ууу.ууу.ууу.126[0]->ууу.ууу.ууу.11[0] spi=20220909(0x1348bed)Причом в PFSens'ском логе есть такая строчка
Feb 26 13:20:23 racoon: []: INFO: initiate new phase 1 negotiation: ууу.ууу.ууу.11[500]<=>ууу.ууу.ууу.126[500]Вот я думаю это PFSEnse инициирует новую фазу, хотя конфиг ракуна там один в один что на БСД.
за исключением вот этого в PFSenselisten {
adminsock "/var/db/racoon/racoon.sock" "root" "wheel" 0660;
}Ну это ведь отвечает за то, на каких IP мы будем слушать.
pfsense -> sockstat | grep racoon
sockstat | grep racoon
root racoon 23560 9 stream /tmp/php-fastcgi.socket-3
root racoon 23560 10 dgram -> /var/run/logpriv
root racoon 23560 12 stream /var/db/racoon/racoon.sock
root racoon 23560 14 udp4 127.0.0.1:500 :
root racoon 23560 15 udp4 ууу.ууу.ууу.11:500 :
root racoon 23560 16 udp4 192.168.100.1:500 : -
Вот что нашел
Соединение может быть инициировано простым пингома на PFSense как раз через кронтаб делается просто пинг
vi /tmp/tmpHOSTS
192.168.15.1|192.168.200.1|3
192.168.15.1|10.10.10.1|3и судя по описанию файла /usr/local/bin/ping_hosts.sh
Format of file should be deliminted by |
# Field 1: Source ip
# Field 2: Destination ip
# Field 3: Ping count
# Field 4: Script to run when service is down
# Field 5: Script to run once service is restored
# Field 6: Ping time threshold
# Field 7: Wan ping time thresholdи действия для пинга у IPSeca ни какого нет просто тупой пинг. Неужели при простом пинги инициируется поднятие соединения?
-
Да так и есть, простым пингом вызывается инициация соединения, вот почему на PFSense в фйале /tmp/tmpHOSTS нет 4-й записи для запуска при неудачном пинге.
Просто выполнил ping с основного сервера до моноволов, и тут же везде стали подыматься IPSEC соединения. остается себе в крон добавтть подобное что и на PFSense.
Спасибо большое всем за помощь.
-
@xtc:
Неужели при простом пинги инициируется поднятие соединения?
IPSec tunnel поднимается при любом "интересном" трафике. Интересным является любой пакет с source и destination IP, принадлежащими данному IPSec тоннелю.
-