IPSec между pfSense и DIR 130

garald50

Пытаюсь организовать туннель между двумя сетками через сеть провайдера. Никак не получается. Подскажите, какие настройки должны быть в pfSENSE и DLINK DIR 130?
Метод Pre-Shared Key

garald50

Добавление. Заранее прошу прощения за незнание некоторой теории.
Схема такая.
Подсеть, где pfSense, имеет адреса 192.168.0.0/24. В сеть провайдера адрес 172.26.62.5.
Подсеть, где Dir130, имеет адреса 192.168.2.0/24. В сеть провайдера адрес 172.26.50.28.
Теперь по настройкам.
Нашел небольшой мануальчик. http://www.thegreenbow.com/doc/tgbvpn_cg-pfsense-router-en.pdf.
На основе него пытаюсь настраивать.
1. Если туннель между pfSense и роутером Dir 130, то во вкладке Tunnels ставим чек Enable IPsec, нажимаем сохранить и больше ничего не трогаем. Так?
2. Надо активировать Allow mobile clients на вкладке Mobile clients. Так?
3. Как заполнять поля Phase 1 proposal (Authentication)?

4. Как заполнять Phase 2 proposal (SA/Key Exchange)?

5. Как заполнять VPN: IPsec: Edit pre-shared key на вкладке Pre-Shared Keys?

В моем случае это должен быть IP адрес WAN Dir130 и кодовая строка?
6. Вкладку CAs не торогаем?
7. Какие настройки должны быть в DIR130?

8. И еще я не нашел где в Mobile clients где указывается Remote subnet и Remote gateway. Маршруты надо будет прописывать?

garald50

Удалось вроде поднять.
Все же в pfSense настройки прописывал во вкладке Тunnels добавлением нового туннеля. Мобильные клиенты не активировал.
Вот настройки.




Firewall: Rules: CityLAN

Dir130:

Есть вопросы.
Но почему-то из 192.168.2.0/24 (где DIR130) не пингуются компы из сети 192.168.0.0/24 (где pfSense).
И еще при пинге сети 192.168.2.0 появляется какая-то непонятная трасса
|–----------------------------------------------------------------------------------------|
|                                      WinMTR statistics                                  |

Host              -  %	Sent	Recv	Best	Avrg	Wrst	Last
pfsense.local -    0	7	7	0	0	0	0
No response from host -  100	7	0	0	0	0	0
REGISTRATURA111 -    0	7	7	0	0	0	0

Что за "No response from host" ?

Eugene

Firewall->Rules->IPsec надо поменть Source на 192.168.2.0
Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24

PS: "женской конс" грех не помочь…

garald50

@Evgeny:

Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24

а Source=CityLAN address или CityLAN subnet?
и это… точно Destination=192.168.2.0/24? не 192.168.0.0?

Eugene

@garald50:

@Evgeny:

Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24

а Source=CityLAN address или CityLAN subnet?
и это… точно Destination=192.168.2.0/24? не 192.168.0.0?

CityLAN subnet
Destinanation - удалённая сетка, котороая подключена к DIR-130

garald50

сделал вот так:
@Evgeny:

Firewall->Rules->IPsec надо поменть Source на 192.168.2.0

пинг пошел из сети 0.0 в 0.2 и обратно. всё нармал.
1)
@Evgeny:

Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24

всё сделал так, но что-то я разницы особой не заметил (вообще никакой), что с активным правилом * 192.168.2.0/24 * LAN net * *, что в disabled
в чем соль этого правила?
2) какое правило написать, чтоб дать интернетику женской консультации 192.168.2.0?
3) почему-то не работает трассировка из 192.168.2.0 в 192.168.0.0, а пинг идет. это особенность ipsec?

Eugene

@garald50:

сделал вот так:
1)
всё сделал так, но что-то я разницы особой не заметил (вообще никакой), что с активным правилом * 192.168.2.0/24 * LAN net * *, что в disabled
в чем соль этого правила?

Это на какой вкладке?

2. какое правило написать, чтоб дать интернетику женской консультации 192.168.2.0?

никакое, это невозможно (дать ЖК пользоваться интернетом pfSense через ipsec)

3. почему-то не работает трассировка из 192.168.2.0 в 192.168.0.0, а пинг идет. это особенность ipsec?

Что выдаёт? лог сюда пожалуйста

garald50

@Evgeny:

@garald50:

сделал вот так:
1)
всё сделал так, но что-то я разницы особой не заметил (вообще никакой), что с активным правилом * 192.168.2.0/24 * LAN net * *, что в disabled
в чем соль этого правила?

Это на какой вкладке?

2. какое правило написать, чтоб дать интернетику женской консультации 192.168.2.0?

никакое, это невозможно (дать ЖК пользоваться интернетом pfSense через ipsec)

3. почему-то не работает трассировка из 192.168.2.0 в 192.168.0.0, а пинг идет. это особенность ipsec?

Что выдаёт? лог сюда пожалуйста

1. на вкладке Firewall->Rules->CityLAN
2. извините не понял. смутили скобки
3. вот трасса из 2.0 в 0.1

|–----------------------------------------------------------------------------------------|
|                                      WinMTR statistics                                  |

Host              -  %	Sent	Recv	Best	Avrg	Wrst	Last
192.168.2.1 -    0	24	24	0	0	0	0
No response from host -  100	23	0	0	0	0	0
192.168.0.10 -    0	23	23	0	0	0	0
________________________________________________	______	______	______	______	______	______
WinMTR - 0.8. Copyleft @2000-2002 Vasile Laurentiu Stanimir  ( stanimir@cr.nivis.com )

из 0.0 в 2.0

|–----------------------------------------------------------------------------------------|
|                                      WinMTR statistics                                  |

Host              -  %	Sent	Recv	Best	Avrg	Wrst	Last
pfsense.local -    0	11	11	0	0	0	0
No response from host -  100	11	0	0	0	0	0
192.168.2.2 -    0	10	10	0	0	0	0
________________________________________________	______	______	______	______	______	______
WinMTR - 0.8. Copyleft @2000-2002 Vasile Laurentiu Stanimir  ( stanimir@cr.nivis.com )

No response from host - что это такое? и из-за чего?

Eugene

1. Я говорил, что там надо сделать "Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24", а правила, которые у тебя были не нужны, так как там не ходит IPSec трафика
2. Женская консультация сможет получить инет только через свой DIR130, не через pfSense.
3. Я такие трассы не понимаю, ни разу не видел. Чем это сделано? Нельзя с обычной машины запустить tracert или traceroute?

garald50

@Evgeny:

1. Я говорил, что там надо сделать "Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24", а правила, которые у тебя были не нужны, так как там не ходит IPSec трафика
2. Женская консультация сможет получить инет только через свой DIR130, не через pfSense.
3. Я такие трассы не понимаю, ни разу не видел. Чем это сделано? Нельзя с обычной машины запустить tracert или traceroute?

1. попутал правила когда написал

всё сделал так, но что-то я разницы особой не заметил (вообще никакой), что с активным правилом * 192.168.2.0/24 * LAN net * *, что в disabled

не то правило и не с той вкладки скопировал.
разницы нет с активным и деактивированным * CityLAN net * 192.168.2.0/24 * *
2.1. то что в моем случае для ЖК нельзя дать Интернета через IPSec, это особенность IPSec? Просто раньше у меня был с ЖК туннель PPTP и я правилом на вкладке Firewall->Rules->PPTP мог регулировать куда пустить (Destination) клиента только в LAN net или всюду (*).

• 192.168.22.202 * LAN net * *
• 192.168.22.202 * * * *
  Здесь с IPSec нельзя также?
  2.2.через прокси на pf будет рабоать инет?
  2.3 такой вариант подойдет? если также как раньше поднять PPTP сервер на PF с доступом Интернет и методом Russian Dual Access подсоединиться к PF с Дира?

Eugene

Как-то мы удалились от темы:
@garald50:

Пытаюсь организовать туннель между двумя сетками через сеть провайдера. Никак не получается. Подскажите, какие настройки должны быть в pfSENSE и DLINK DIR 130?
Метод Pre-Shared Key

Тоннель поднят? работает? Классно -)
Дальше - через ipsec интернет прогнать нельзя, считай это особенностью ipsec (может меня кто поправит?)
Остальные вопросы - не очень понимаю.
Совет один (как обычно) - надо чётко представлять, что хочется построить в итоге, наметить план, и успешно двигаться по намеченному плану -)

garald50

Ладно. Действительно :)
Завтра выложу результаты команды tracert. Этот вопрос решим. И у темы повешу бирку "РЕШЕНО".

garald50

Проблемные на мой взгляд трассировки
из 0.0 в 2.0:

Трассировка маршрута к 192.168.2.2 с максимальным числом прыжков 30
 1    <1 мс    <1 мс    <1 мс  pfsense.local [192.168.0.16]
 2     *        *        *     Превышен интервал ожидания для запроса.
 3     2 ms     1 ms     1 ms  192.168.2.2
Трассировка завершена.

из 2.0 в 0.0

Трассировка маршрута к 192.168.0.45 с максимальным числом прыжков 30
 1    <1 мс    <1 мс    <1 мс  192.168.2.1
 2     *        *        *     Превышен интервал ожидания для запроса.
 3     1 ms     1 ms     1 ms  192.168.0.45
Трассировка завершена.

Что означает трасса под номером 2?

2. все-таки разницы нет что с правилом * CityLAN net * 192.168.2.0/24 * * на вкладке Firewall->Rules->CityLAN, что без него. туннель поднимается, пинги и трасса в обоих случаях как показано выше. в чем причина?

добавлено:
3) в Diagnostics: System logs: IPSEC VPN сыпится во такой лог:

Nov 26 15:30:00 racoon: ERROR: failed to bind to address 172.26.62.5[500] (Address already in use).
Nov 26 15:30:00 racoon: [Self]: INFO: 192.168.0.16[500] used as isakmp port (fd=18)
Nov 26 15:30:00 racoon: [Self]: INFO: 172.26.62.5[500] used as isakmp port (fd=14)
Nov 26 15:30:00 racoon: [Self]: INFO: 10.0.8.1[500] used as isakmp port (fd=15)
Nov 26 15:30:00 racoon: [Self]: INFO: 10.16.32.173[500] used as isakmp port (fd=16)
Nov 26 15:30:00 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=17)

что-то не исправно?

izuware

Интернет (0.0.0.0/0) через IPSEC . имеется ввиду шлюз на который приходит серый IP по IPSEC и далее через  NAT в интернет …
на узле где есть интернет делаем тунель где local subnet 0.0.0.0/0  а remote subnet та серая сеть, например 192.168.1.0/24 . На другом конце настройки соответственно наоборот. Далее добавим правило в NAT (если надо, хотя никто не запрещает и реальные сетки/адреса так пробрасывать).

Eugene

@garald50:

2. все-таки разницы нет что с правилом * CityLAN net * 192.168.2.0/24 * * на вкладке Firewall->Rules->CityLAN, что без него. туннель поднимается, пинги и трасса в обоих случаях как показано выше. в чем причина?

Покажи все правила.

garald50

вкладка CityLAN

Proto Source Port Destination Port Gateway

• 172.17.2.10 * Interface IP address * *
• 172.26.50.28 * Interface IP address * *
• 172.31.53.12 * Interface IP address * *
• CityLAN net * 192.168.2.0/24 * *
• CityLAN net * 192.168.1.0/24 * *

вкладка PPTP vpn

• 192.168.22.196 * * * *

вкладка IPSec

• 192.168.2.0/24 * LAN net * *
• 192.168.1.0/24 * LAN net * *
• LAN net * * * *

вкладка LAN

• NAT_Internet_IP * * * *

Eugene

Если удаляешь
*    CityLAN net    *    192.168.2.0/24    *    *
с CityLAN, то пинги из 192.168.0.0/24 не должны идти в 192.168.2.0/24

garald50

Заметил такую "шляпу".
Если Дир130 с работающим IPSec-тоннелем не на долгое (или на долгое) время обесточить или перезагрузить. Туннель перестает работать.
Это выглядит так - горит зеленая стрелка в "status/ipsec", но я не могу пинговаться ни туды ни сюды! Тоннель мертв.
Если я делаю рестарт raccon, то становится всё окей.

Хочу, чтобы cron рестартовал автоматически службу raccon, если ipsec тоннель мертв.
Подскажите, как это сделаьт?