IpSec, локальная сеть. [РЕШЕНО]



  • Есть два офиса.
    офис 1: 192.168.1.0.24 Шлюз Pfsense 1.2.2
    офис 2: 192.168.147.0.24 Шлюз Pfsense 1.2.3 R

    Сам туннель поднялся (в статусе светит зелёная стрелка) и пинги ходят - пинговал с ПК с IP 192.168.147.100 192.168.1.254 (Lan PfSense из офиса 1).

    Мне нужно, чтобы офис 2 видел принтеры офиса 1. т.е.
    ПК 192.168.147.100 увидел принтер 192.168.1.109 - он его пинговать может, но шару не видит.

    В файерах специально на время тестирования ставил правила в
    лан " * lan net * * * * "
    во вкладке ipsec разрешил icmp, dns, 137, 138, 139
    Есть ли трабл, что маршруты нужные не добавил?, тогда почему удалённая сеть пингуется?
    В чём может быть проблема?



  • разреши все и погляди, если нет значит в другом дело////



  • TCP и UDP 445 разреши.



  • @pmrt:

    TCP и UDP 445 разреши.

    спасибо, попробую завтра вечером.



  • Вобщем почитал pfsense book, делал правила, маршруты. Всё равно какой то затык. Пингуется всё. Открывается админка pfsense на другой стороне, телнетился сетевой принтер и я его даже подключил и распечатать смог по ipsec сети. Нужный мне комп только пингуется, нужные порты по телнету недоступны. трасерт идёт.

    Версии сенсов 1.2.2 и 1.2.3 для ipsec разница, что в 1.2.2 нет раздела DPD поля.

    У кого работает, выложите скрины или краткий ман? спасибо.



  • По IPSec-у думается нужно разрешить все. Какой смысл разрешать отдельные порты между локалками и потом гадать почему протоколы микрософта не работают..



  • @dvserg:

    По IPSec-у думается нужно разрешить все. Какой смысл разрешать отдельные порты между локалками и потом гадать почему протоколы микрософта не работают..

    Это я телнетил несколько портов, а разрешал всё.

    lan net = 192.168.147.0/24
    192.168.1.0/24 удалённая локалка




  • @DasTieRR:

    Нужный мне комп только пингуется, нужные порты по телнету недоступны. трасерт идёт.

    tcpdump на LAN, к которому комп подключен, поможет.



  • А со звездочками не работает тоже?
    IPSec TCP/UDP * * * * *
    LAN    TCP/UDP from LAN to 192.168.1.0/24
    LAN    TCP/UDP from 192.168.1.0/24 to LAN



  • @dvserg:

    А со звездочками не работает тоже?
    IPSec TCP/UDP * * * * *
    LAN    TCP/UDP from LAN to 192.168.1.0/24
    LAN    TCP/UDP from 192.168.1.0/24 to LAN

    К сожалению тоже, не работает. Меня удивляет, почему открылась админка другого сенса (через его локальный ip) + доступен сетевой принтер (опять же из другой подсети), т.е. он как-то частично что ли работает.
    В разделе Лан разрешал нужные порты, потом там же ставил первое правило, разрешающее всё. В ван снял галки блок bogon networks, поставил галку bybass traffic…



  • По netbios имени из другой подсети может и не достучаться. попробуйте зайти на шары компов по ip адресам.



  • @dvserg:

    По netbios имени из другой подсети может и не достучаться. попробуйте зайти на шары компов по ip адресам.

    я по ip заходил, т.к. по dns они не разрешались

    дословно: пуск-выполнить \192.168.1.109
    Ещё проверял шару из той же самой сети, всё открывается. Компы не в домене, политику никакую не применяют.



  • Ну тогда TcpDump



  • @dvserg:

    Ну тогда TcpDump

    Это на днях, т.к. сегодня комп благополучно выключен, а завтра инета не будет.

    Вопрос только есть, слушать с сенса или с проблемного компа? И какие ключи дампа порекомендуете?



  • @DasTieRR:

    @dvserg:

    Ну тогда TcpDump

    Это на днях, т.к. сегодня комп благополучно выключен, а завтра инета не будет.

    Вопрос только есть, слушать с сенса или с проблемного компа? И какие ключи дампа порекомендуете?

    Лучше на сенсе для начала. Никаких особых ключей не надо
    tcpdump -ni <имя интерфейса> host <ip хоста="">Запусти одновременно на обоих pf, сравним потом.</ip>



  • Скрин роутера офиса
    PfSense 192.168.1.254 (ver 1.2.2)












  • Скрин роутера бухгалтерии
    Pfsense 192.168.147.1 (ver 1.2.3 R)










  • Dasti, сделайте алиас на порты. Замучаетесь же правила редактировать при малейшем изменении сети.



  • @deutsche:

    Dasti, сделайте алиас на порты. Замучаетесь же правила редактировать при малейшем изменении сети.

    "Век живи - век учись", чем и стараюсь заниматься. За фишку спасибо, как то внимания на альиас для портов не обратил.



  • Вопрос ещё актуален, прошу волшебного пинка в нужную сторону.



  • Нужный мне комп находится в подсети А, его ИП 192.168.1.109.
    После запуска дампов была выполнена команда telnet 192.168.1.109 138 с ПК подсети В (с ип 192.168.147.200) и попытка открыть шару через \192.168.1.109

    Я не вижу правил…
    Вот как это должно быть если "Телнет в подсеть А telnet 192.168.1.109 138 с ПК подсети В (с 192.168.147.200)"
    1. пакет прибывает на интерфейс LAN B, здесь должно быть правило TCP from LAN to 192.168.1.0/24 port 138
    2. улетает в тоннель (убери статический маршрут, он бесполезен в случае с IPSec)
    3. прибывает на интерфейс IPSEC pf A, там должно быть правило TCP from 192.168.147.0/24 to LAN port 138
    4. уходит на машину 192.168.1.109
    5. машина отвечает (у машины должен быть либо default gateway pfA.LAN interface IP, либо статический маршрут 192.168.147.0/24 -> pfA.LAN interface IP. Для обратного трафика никаких правил не нужно.

    Давай, убедись, что у тебя всё так и по новой телнет с tcpdump'ами.



  • @Evgeny:

    Нужный мне комп находится в подсети А, его ИП 192.168.1.109.
    После запуска дампов была выполнена команда telnet 192.168.1.109 138 с ПК подсети В (с ип 192.168.147.200) и попытка открыть шару через \192.168.1.109

    Я не вижу правил…
    Вот как это должно быть если "Телнет в подсеть А telnet 192.168.1.109 138 с ПК подсети В (с 192.168.147.200)"
    1. пакет прибывает на интерфейс LAN B, здесь должно быть правило TCP from LAN to 192.168.1.0/24 port 138
    2. улетает в тоннель (убери статический маршрут, он бесполезен в случае с IPSec)
    3. прибывает на интерфейс IPSEC pf A, там должно быть правило TCP from 192.168.147.0/24 to LAN port 138
    4. уходит на машину 192.168.1.109
    5. машина отвечает (у машины должен быть либо default gateway pfA.LAN interface IP, либо статический маршрут 192.168.147.0/24 -> pfA.LAN interface IP. Для обратного трафика никаких правил не нужно.

    Давай, убедись, что у тебя всё так и по новой телнет с tcpdump'ами.

    Спасибо, проверил правила по твоей схеме, у меня не хватало разрешающих правил на ланах в локальную подсеть другого офиса.



  • Закрываем?


Log in to reply