Не работает туннель на IPsec



  • Добрый день.

    Есть 2 роутера на PFsense 1.2.3 Пытаюсь поднять ipsec туннель между 2 сетями.
    Сам туннель поднимается (появляется зеленая стрелка) но пингов нет.
    Все выглядит вот так

    конфиг IPSEC pf sense1

    INTERFACE  WAN
    LOCAL SUBNET  Lan subnet
    Remote subnet 10.1.3.0/24
    Remote gateway 10.2.2.1

    конфиг IPSEC PFsens2

    INTERFACE  WAN
    LOCAL SUBNET  Lan subnet
    Remote subnet 192.168.1.0/24
    Remote gateway 10.2.2.2

    Если запустить пинг из одной подсети в другую создается туннель (появляется зеленая стрелка) но пинг не проходит, хотя по логам видно что пакет был отправлен и принят.
    Маршрутов нигде не прописывал.
    Правилами разрешено все и всем.
    Кусок лога ipsec
    Sep 9 12:36:05 racoon: INFO: @(#)ipsec-tools 0.7.2 (http://ipsec-tools.sourceforge.net)
    Sep 9 12:36:05 racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
    Sep 9 12:36:05 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
    Sep 9 12:36:05 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14)
    Sep 9 12:36:05 racoon: [Self]: INFO: 10.2.2.1[500] used as isakmp port (fd=15)
    Sep 9 12:36:05 racoon: [Self]: INFO: 10.1.3.20[500] used as isakmp port (fd=16)
    Sep 9 12:36:05 racoon: INFO: unsupported PF_KEY message REGISTER
    Sep 9 12:37:30 racoon: []: INFO: IPsec-SA request for 10.2.2.2 queued due to no phase1 found.
    Sep 9 12:37:30 racoon: []: INFO: initiate new phase 1 negotiation: 10.2.2.1[500]<=>10.2.2.2[500]
    Sep 9 12:37:30 racoon: INFO: begin Aggressive mode.
    Sep 9 12:37:30 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
    Sep 9 12:37:30 racoon: INFO: received Vendor ID: DPD
    Sep 9 12:37:30 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
    Sep 9 12:37:30 racoon: []: INFO: ISAKMP-SA established 10.2.2.1[500]-10.2.2.2[500] spi:ce5dadbdd2cb6520:e5adb6efbe054a6b
    Sep 9 12:37:31 racoon: []: INFO: initiate new phase 2 negotiation: 10.2.2.1[500]<=>10.2.2.2[500]
    Sep 9 12:37:31 racoon: []: INFO: IPsec-SA established: AH 10.2.2.2[0]->10.2.2.1[0] spi=20372851(0x136dd73)
    Sep 9 12:37:31 racoon: []: INFO: IPsec-SA established: AH 10.2.2.1[0]->10.2.2.2[0] spi=236561706(0xe19a52a)

    Помогите пожалуйста.



  • Firewall -> Rules -> Ipsec
    Разрешите всё (*) и снова ping…



  • @idelta:

    Firewall -> Rules -> Ipsec
    Разрешите всё (*) и снова ping…

    В рулах для лан тоже надо разрешить доступ к удалённой подсети. А топикстартеру - поиск по форуму.



  • Для Lan по умолчанию всё разрешено.



  • @idelta:

    Для Lan по умолчанию всё разрешено.

    Иногда нужно прописывать конкретно, я сам с ipsec трахался 2 недели.



  • @DasTieRR:

    @idelta:

    Для Lan по умолчанию всё разрешено.

    Иногда нужно прописывать конкретно, я сам с ipsec трахался 2 недели.

    "по умолчанию всё разрешено" - самый конкретный подход -)))



  • Правила прописал вручную для Lan, Wan, IPsec разрешить все на обеих машинах.

    Запускаю на 192.168.1.7  ping 10.1.3.250
    На PFsens1:
    STATUS>IPsec появляется туннель с зеленой стрелкой
    sourc 10.2.2.2            dest 10.2.2.1
                                  10.1.3.0/24
    STATUS>System Log> Firewall  уходит пакет  LAN 192.168.1.7 10.1.3.250 ICMP

    На PFsens2
    STATUS>IPsec появляется туннель с зеленой стрелкой
    sourc 10.2.2.1        dest    10.2.2.2
                                          192.168.1.0/24
    STATUS>System Log> Firewall  приходит пакет    WAN 192.168.1.7 10.1.3.250 ICMP
    Может PFsens2 просто не знает что с этим пакетом дальше делать и надо маршрут гдето вручную прописать ?



  • Пропиши статические маршруты для удаленной сети через LAN интерфейс на противоположной стороне.
    на PF1
    сеть 10.1.3.0/24 шлюз 10.1.3.20
    на PF2
    сеть 192.168.1.0/24 шлюз 192.168.1.20
    и все должно заработать.



  • На pfSense2

    tcpdump -ni <здесь имя LAN-интерфейса поставь> icmp
    

    и пингуй, что видно?



  • Все заработало.
    Развернул еще один стенд сделал все тоже самое заработало с 1 раза. Стал сравнивать настройки нашел косяк: на 1 стенде  в настройках туннеля стояло
    Phase 2 proposal
    Protocol AH
    поменял на ESP все запустилось.
    Возник вопрос: За что отвечает данный параметр ?


Log in to reply