Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSec между pfSense и DIR 130

    Scheduled Pinned Locked Moved Russian
    19 Posts 3 Posters 9.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      garald50
      last edited by

      Пытаюсь организовать туннель между двумя сетками через сеть провайдера. Никак не получается. Подскажите, какие настройки должны быть в pfSENSE и DLINK DIR 130?
      Метод Pre-Shared Key

      1 Reply Last reply Reply Quote 0
      • G
        garald50
        last edited by

        Добавление. Заранее прошу прощения за незнание некоторой теории.
        Схема такая.
        Подсеть, где pfSense, имеет адреса 192.168.0.0/24. В сеть провайдера адрес 172.26.62.5.
        Подсеть, где Dir130, имеет адреса 192.168.2.0/24. В сеть провайдера адрес 172.26.50.28.
        Теперь по настройкам.
        Нашел небольшой мануальчик. http://www.thegreenbow.com/doc/tgbvpn_cg-pfsense-router-en.pdf.
        На основе него пытаюсь настраивать.
        1. Если туннель между pfSense и роутером Dir 130, то во вкладке Tunnels ставим чек Enable IPsec, нажимаем сохранить и больше ничего не трогаем. Так?
        2. Надо активировать Allow mobile clients на вкладке Mobile clients. Так?
        3. Как заполнять поля Phase 1 proposal (Authentication)?

        4. Как заполнять Phase 2 proposal (SA/Key Exchange)?

        5. Как заполнять VPN: IPsec: Edit pre-shared key на вкладке Pre-Shared Keys?

        В моем случае это должен быть IP адрес WAN Dir130 и кодовая строка?
        6. Вкладку CAs не торогаем?
        7. Какие настройки должны быть в DIR130?

        8. И еще я не нашел где в Mobile clients где указывается Remote subnet и Remote gateway. Маршруты надо будет прописывать?

        1 Reply Last reply Reply Quote 0
        • G
          garald50
          last edited by

          Удалось вроде поднять.
          Все же в pfSense настройки прописывал во вкладке Тunnels добавлением нового туннеля. Мобильные клиенты не активировал.
          Вот настройки.




          Firewall: Rules: CityLAN

          Dir130:

          Есть вопросы.
          Но почему-то из 192.168.2.0/24 (где DIR130) не пингуются компы из сети 192.168.0.0/24 (где pfSense).
          И еще при пинге сети 192.168.2.0 появляется какая-то непонятная трасса
          |–----------------------------------------------------------------------------------------|
          |                                      WinMTR statistics                                  |

          Host              -  % Sent Recv Best Avrg Wrst Last
          pfsense.local -    0 7 7 0 0 0 0
          No response from host -  100 7 0 0 0 0 0
          REGISTRATURA111 -    0 7 7 0 0 0 0

          Что за "No response from host" ?

          1 Reply Last reply Reply Quote 0
          • E
            Eugene
            last edited by

            Firewall->Rules->IPsec надо поменть Source на 192.168.2.0
            Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24

            PS: "женской конс" грех не помочь…

            http://ru.doc.pfsense.org

            1 Reply Last reply Reply Quote 0
            • G
              garald50
              last edited by

              @Evgeny:

              Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24

              а Source=CityLAN address или CityLAN subnet?
              и это… точно Destination=192.168.2.0/24? не 192.168.0.0?

              1 Reply Last reply Reply Quote 0
              • E
                Eugene
                last edited by

                @garald50:

                @Evgeny:

                Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24

                а Source=CityLAN address или CityLAN subnet?
                и это… точно Destination=192.168.2.0/24? не 192.168.0.0?

                CityLAN subnet
                Destinanation - удалённая сетка, котороая подключена к DIR-130

                http://ru.doc.pfsense.org

                1 Reply Last reply Reply Quote 0
                • G
                  garald50
                  last edited by

                  сделал вот так:
                  @Evgeny:

                  Firewall->Rules->IPsec надо поменть Source на 192.168.2.0

                  пинг пошел из сети 0.0 в 0.2 и обратно. всё нармал.
                  1)
                  @Evgeny:

                  Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24

                  всё сделал так, но что-то я разницы особой не заметил (вообще никакой), что с активным правилом * 192.168.2.0/24 * LAN net * *, что в disabled
                  в чем соль этого правила?
                  2) какое правило написать, чтоб дать интернетику женской консультации 192.168.2.0?
                  3) почему-то не работает трассировка из 192.168.2.0 в 192.168.0.0, а пинг идет. это особенность ipsec?

                  1 Reply Last reply Reply Quote 0
                  • E
                    Eugene
                    last edited by

                    @garald50:

                    сделал вот так:
                    1)
                    всё сделал так, но что-то я разницы особой не заметил (вообще никакой), что с активным правилом * 192.168.2.0/24 * LAN net * *, что в disabled
                    в чем соль этого правила?

                    Это на какой вкладке?

                    1. какое правило написать, чтоб дать интернетику женской консультации 192.168.2.0?

                    никакое, это невозможно (дать ЖК пользоваться интернетом pfSense через ipsec)

                    1. почему-то не работает трассировка из 192.168.2.0 в 192.168.0.0, а пинг идет. это особенность ipsec?

                    Что выдаёт? лог сюда пожалуйста

                    http://ru.doc.pfsense.org

                    1 Reply Last reply Reply Quote 0
                    • G
                      garald50
                      last edited by

                      @Evgeny:

                      @garald50:

                      сделал вот так:
                      1)
                      всё сделал так, но что-то я разницы особой не заметил (вообще никакой), что с активным правилом * 192.168.2.0/24 * LAN net * *, что в disabled
                      в чем соль этого правила?

                      Это на какой вкладке?

                      1. какое правило написать, чтоб дать интернетику женской консультации 192.168.2.0?

                      никакое, это невозможно (дать ЖК пользоваться интернетом pfSense через ipsec)

                      1. почему-то не работает трассировка из 192.168.2.0 в 192.168.0.0, а пинг идет. это особенность ipsec?

                      Что выдаёт? лог сюда пожалуйста

                      1. на вкладке Firewall->Rules->CityLAN
                      2. извините не понял. смутили скобки
                      3. вот трасса из 2.0 в 0.1

                      |–----------------------------------------------------------------------------------------|
                      |                                      WinMTR statistics                                  |

                      Host              -  % Sent Recv Best Avrg Wrst Last
                      192.168.2.1 -    0 24 24 0 0 0 0
                      No response from host -  100 23 0 0 0 0 0
                      192.168.0.10 -    0 23 23 0 0 0 0
                      ________________________________________________ ______ ______ ______ ______ ______ ______
                      WinMTR - 0.8. Copyleft @2000-2002 Vasile Laurentiu Stanimir  ( stanimir@cr.nivis.com )

                      из 0.0 в 2.0

                      |–----------------------------------------------------------------------------------------|
                      |                                      WinMTR statistics                                  |

                      Host              -  % Sent Recv Best Avrg Wrst Last
                      pfsense.local -    0 11 11 0 0 0 0
                      No response from host -  100 11 0 0 0 0 0
                      192.168.2.2 -    0 10 10 0 0 0 0
                      ________________________________________________ ______ ______ ______ ______ ______ ______
                      WinMTR - 0.8. Copyleft @2000-2002 Vasile Laurentiu Stanimir  ( stanimir@cr.nivis.com )

                      No response from host - что это такое? и из-за чего?

                      1 Reply Last reply Reply Quote 0
                      • E
                        Eugene
                        last edited by

                        1. Я говорил, что там надо сделать "Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24", а правила, которые у тебя были не нужны, так как там не ходит IPSec трафика
                        2. Женская консультация сможет получить инет только через свой DIR130, не через pfSense.
                        3. Я такие трассы не понимаю, ни разу не видел. Чем это сделано? Нельзя с обычной машины запустить tracert или traceroute?

                        http://ru.doc.pfsense.org

                        1 Reply Last reply Reply Quote 0
                        • G
                          garald50
                          last edited by

                          @Evgeny:

                          1. Я говорил, что там надо сделать "Firewall->Rules->CityLAN можно убрать все эти правила, относящиеся к IPSec, но добавить то, что хочешь пропускать Source=CityLAN, Destination=192.168.2.0/24", а правила, которые у тебя были не нужны, так как там не ходит IPSec трафика
                          2. Женская консультация сможет получить инет только через свой DIR130, не через pfSense.
                          3. Я такие трассы не понимаю, ни разу не видел. Чем это сделано? Нельзя с обычной машины запустить tracert или traceroute?

                          1. попутал правила когда написал

                          всё сделал так, но что-то я разницы особой не заметил (вообще никакой), что с активным правилом * 192.168.2.0/24 * LAN net * *, что в disabled

                          не то правило и не с той вкладки скопировал.
                          разницы нет с активным и деактивированным * CityLAN net * 192.168.2.0/24 * *
                          2.1. то что в моем случае для ЖК нельзя дать Интернета через IPSec, это особенность IPSec? Просто раньше у меня был с ЖК туннель PPTP и я правилом на вкладке Firewall->Rules->PPTP мог регулировать куда пустить (Destination) клиента только в LAN net или всюду (*).

                          • 192.168.22.202 * LAN net * *
                          • 192.168.22.202 * * * *
                            Здесь с IPSec нельзя также?
                            2.2.через прокси на pf будет рабоать инет?
                            2.3 такой вариант подойдет? если также как раньше поднять PPTP сервер на PF с доступом Интернет и методом Russian Dual Access подсоединиться к PF с Дира?
                          1 Reply Last reply Reply Quote 0
                          • E
                            Eugene
                            last edited by

                            Как-то мы удалились от темы:
                            @garald50:

                            Пытаюсь организовать туннель между двумя сетками через сеть провайдера. Никак не получается. Подскажите, какие настройки должны быть в pfSENSE и DLINK DIR 130?
                            Метод Pre-Shared Key

                            Тоннель поднят? работает? Классно -)
                            Дальше - через ipsec интернет прогнать нельзя, считай это особенностью ipsec (может меня кто поправит?)
                            Остальные вопросы - не очень понимаю.
                            Совет один (как обычно) - надо чётко представлять, что хочется построить в итоге, наметить план, и успешно двигаться по намеченному плану -)

                            http://ru.doc.pfsense.org

                            1 Reply Last reply Reply Quote 0
                            • G
                              garald50
                              last edited by

                              Ладно. Действительно :)
                              Завтра выложу результаты команды tracert. Этот вопрос решим. И у темы повешу бирку "РЕШЕНО".

                              1 Reply Last reply Reply Quote 0
                              • G
                                garald50
                                last edited by

                                Проблемные на мой взгляд трассировки
                                из 0.0 в 2.0:

                                Трассировка маршрута к 192.168.2.2 с максимальным числом прыжков 30
                                 1    <1 мс    <1 мс    <1 мс  pfsense.local [192.168.0.16]
                                 2     *        *        *     Превышен интервал ожидания для запроса.
                                 3     2 ms     1 ms     1 ms  192.168.2.2
                                Трассировка завершена.

                                из 2.0 в 0.0

                                Трассировка маршрута к 192.168.0.45 с максимальным числом прыжков 30
                                 1    <1 мс    <1 мс    <1 мс  192.168.2.1
                                 2     *        *        *     Превышен интервал ожидания для запроса.
                                 3     1 ms     1 ms     1 ms  192.168.0.45
                                Трассировка завершена.

                                Что означает трасса под номером 2?

                                1. все-таки разницы нет что с правилом * CityLAN net * 192.168.2.0/24 * * на вкладке Firewall->Rules->CityLAN, что без него. туннель поднимается, пинги и трасса в обоих случаях как показано выше. в чем причина?

                                добавлено:
                                3) в Diagnostics: System logs: IPSEC VPN сыпится во такой лог:

                                Nov 26 15:30:00 racoon: ERROR: failed to bind to address 172.26.62.5[500] (Address already in use).
                                Nov 26 15:30:00 racoon: [Self]: INFO: 192.168.0.16[500] used as isakmp port (fd=18)
                                Nov 26 15:30:00 racoon: [Self]: INFO: 172.26.62.5[500] used as isakmp port (fd=14)
                                Nov 26 15:30:00 racoon: [Self]: INFO: 10.0.8.1[500] used as isakmp port (fd=15)
                                Nov 26 15:30:00 racoon: [Self]: INFO: 10.16.32.173[500] used as isakmp port (fd=16)
                                Nov 26 15:30:00 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=17)

                                что-то не исправно?

                                1 Reply Last reply Reply Quote 0
                                • I
                                  izuware
                                  last edited by

                                  Интернет (0.0.0.0/0) через IPSEC . имеется ввиду шлюз на который приходит серый IP по IPSEC и далее через  NAT в интернет …
                                  на узле где есть интернет делаем тунель где local subnet 0.0.0.0/0  а remote subnet та серая сеть, например 192.168.1.0/24 . На другом конце настройки соответственно наоборот. Далее добавим правило в NAT (если надо, хотя никто не запрещает и реальные сетки/адреса так пробрасывать).

                                  1 Reply Last reply Reply Quote 0
                                  • E
                                    Eugene
                                    last edited by

                                    @garald50:

                                    1. все-таки разницы нет что с правилом * CityLAN net * 192.168.2.0/24 * * на вкладке Firewall->Rules->CityLAN, что без него. туннель поднимается, пинги и трасса в обоих случаях как показано выше. в чем причина?

                                    Покажи все правила.

                                    http://ru.doc.pfsense.org

                                    1 Reply Last reply Reply Quote 0
                                    • G
                                      garald50
                                      last edited by

                                      вкладка CityLAN

                                      Proto Source Port Destination Port Gateway

                                      • 172.17.2.10 * Interface IP address * *
                                      • 172.26.50.28 * Interface IP address * *
                                      • 172.31.53.12 * Interface IP address * *
                                      • CityLAN net * 192.168.2.0/24 * *
                                      • CityLAN net * 192.168.1.0/24 * *

                                      вкладка PPTP vpn

                                      • 192.168.22.196 * * * *

                                      вкладка IPSec

                                      • 192.168.2.0/24 * LAN net * *
                                      • 192.168.1.0/24 * LAN net * *
                                      • LAN net * * * *

                                      вкладка LAN

                                      • NAT_Internet_IP * * * *
                                      1 Reply Last reply Reply Quote 0
                                      • E
                                        Eugene
                                        last edited by

                                        Если удаляешь
                                        *    CityLAN net    *    192.168.2.0/24    *    *
                                        с CityLAN, то пинги из 192.168.0.0/24 не должны идти в 192.168.2.0/24

                                        http://ru.doc.pfsense.org

                                        1 Reply Last reply Reply Quote 0
                                        • G
                                          garald50
                                          last edited by

                                          Заметил такую "шляпу".
                                          Если Дир130 с работающим IPSec-тоннелем не на долгое (или на долгое) время обесточить или перезагрузить. Туннель перестает работать.
                                          Это выглядит так - горит зеленая стрелка в "status/ipsec", но я не могу пинговаться ни туды ни сюды! Тоннель мертв.
                                          Если я делаю рестарт raccon, то становится всё окей.

                                          Хочу, чтобы cron рестартовал автоматически службу raccon, если ipsec тоннель мертв.
                                          Подскажите, как это сделаьт?

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.