IPsec: Помогите разобраться с маршрутизацией
-
Добрый день!
Описываю ситуацию:
есть локалка A: 192.168.75.0/24
её основной шлюз — 192.168.75.225
локалка А имеет доступ в интернет. (WAN, белый IP)есть локалка B: 192.168.51.0/24
её основной шлюз — 192.168.51.225
локалка B не имеет доступа в интернет, есть только доступ до локалки А. (WAN, серый IP 10.x.x.x)На основных шлюзах локальных сетей установлен pfSense 2.0. Сети объединены при помощи туннеля IPsec.
Результат: из сети А пингуется сеть B и из сети B пингуется сеть А.Итак, собственно сам вопрос:
Цель: В локалке B должен быть интернет. Получать она его должна из локалки A.
Вопрос, как прописать маршрутизацию в сетях и позволяет ли IPsec туннели реализовать заданное? -
Правила fw покрутите. И всё заработает.
-
Знать бы, какие именно.
Пока что на ум ничего не приходит. Поэтому и обратился за помощью. -
сам не делал ни разу, но тут все же надо делать роутинг, чтобы весь трафик по умолчанию уходил на сеть А а там уже его натить во вне. и все это завязать на маршрутах.
ну типа дефаулт гейт сделать на 75.225 а там поднять нат для сети 51Либо поднять нат На сети А на ван интерфейсе для Ван сети Б и весь трафик из сети Б сделать маршрут по умолчанию на Ван А.
может чего и не так говорю. но по любому нужны маршруты.
-
Сделать для 51 сети дефолтгей 192.168.75.225 не получится, они в разных подсетях.
Тут, видимо нужно как-то наттинг прописать, потому что проблем с доступом из 75й в 51ю и наоборот — нету. Нужен интернет из 75й в 51ю.
Принцип-то понятен.
Но вот что прописать в pfsense — я не знаю. -
Попробуй сделать проще.
Подыми PPTP сервер на Сети А на ВАне. а на сети Б на Ване сделай подключение ППТР до Сервера сети А, тем самым по умолчанию весь трафик для внешнеего интернета пойдет по ВПН подключению с сети Б через сеть А. -
с pptp или OpenVPN проблем нет.
но мне же нужен именно IPsec. -
Добрый день!
Описываю ситуацию:
есть локалка A: 192.168.75.0/24
её основной шлюз — 192.168.75.225
локалка А имеет доступ в интернет. (WAN, белый IP)есть локалка B: 192.168.51.0/24
её основной шлюз — 192.168.51.225
локалка B не имеет доступа в интернет, есть только доступ до локалки А. (WAN, серый IP 10.x.x.x)На основных шлюзах локальных сетей установлен pfSense 2.0. Сети объединены при помощи туннеля IPsec.
Результат: из сети А пингуется сеть B и из сети B пингуется сеть А.Итак, собственно сам вопрос:
Цель: В локалке B должен быть интернет. Получать она его должна из локалки A.
Вопрос, как прописать маршрутизацию в сетях и позволяет ли IPsec туннели реализовать заданное?настройки IPSEC A
LocalSubnet 0.0.0.0/0
RemoteSubnet 192.168.51.0/24настройки IPSEC B
LocalSubnet LanSubnet
RemoteSubnet 0.0.0.0/0на маршрутизаторе A в NAT добавить 192.168.51.0/24
-
Спасибо огромное за отклик!
Однако, вопрос,
на маршрутизаторе A в NAT добавить 192.168.51.0/24
каким образом добавляется в NAT?
-
настройки IPSEC A
LocalSubnet 0.0.0.0/0
RemoteSubnet 192.168.51.0/24настройки IPSEC B
LocalSubnet LanSubnet
RemoteSubnet 0.0.0.0/0при такой конфигурации сети перестали видеть друг друга.
-
Получилось твой вариант сделать. но через веб морду у тебя это не выйдет все сделать. т.к. гейты он не даст установить те которые необходимо ввести. я для этого через шел конфигурил хмл файл
давай тебе сделаю маленький пример. имеем пустые по умолчанию настройки.
Офис А с выходом в инет.
Офис Б без выхода в инет.Настраиваем ПФСЕНС офиса А.
1. Разрешим на ване А туда и обратно трафик для Вана Б
типа такого
Разрешить все на ВанИнтерфейсе для IP (ВанИфейс Б) на IP (ВанИфейс А)
и наоборот
Разрешить все на ВанИнтерфейсе IP (ВанИфейс А) на IP (ВанИфейс Б)2. делаем gif
Interfaces: Assign network ports : Gif
Жмем добавить Гиф
Parent interface - WAN
gif remote address - IP ( WAN B )
gif tunnel local address - 1.1.1.1/30
gif tunnel remote address - 1.1.1.2/30
далее галок ни где не ставим.
можно сделать описание ГифаЖмем сохранить.
3. создаем IPSec
а - добавляем ключ
заходим VPN: IPsec: Keys
жмем Pre-shared keys
Жмем добавитьIdentifier - IP ( WAN B )
Pre-shared key - (Ключ соединения)б - добавляем сам IPSEC
Interface - WAN
RemGate - IP (Wan B)
Descr - IPSec
AuthMetod - PSK
Mode - Aggresive
My id - My IP
Peer id - Peer IP
PreShKey - (Ключ соединения)
Proposal Checking - default
Encryption algorithm - 3des
hash alg - sha1
DH key group - 2
lifetime - 28880
NAT Traversal - disable
dpd - галка
10
5сохранить
в. добавляем что шифровать
VPN: IPsec: Edit Phase 2
mode - transport
proto -esp
encriptAlg - 3DES
Hashalg - SHA1 MD5
PFS - 2
lifetime - 3600
ping host - 1.1.1.2сохранить.
4. в Рулесах делаем правило для IPSEC разрешить всем все.
5. идем в роутинг и добавляем гате для офиса Б -System: Gateways
Interface - LAN
name - Gate_for_IPSEC_B
GateWay - 1.1.1.2
Descr - Gate_for_IPSEC_BТут он тебе не даст сохранить. Поэтому для начало напишим любой IP из сети LAN A и жмем сохранить.
6. добавим сеть для маршрутизации офиса Б.
System: Static Routes
Destination network - Вся сеть Lan B (b.b.b.b/24)
Gateway - Тот что мы сделали в пункте 5.
описание - Gate_for_IPSEC_B
сохраняем.Ну почти и все. осталось зайти через шел и исправить конфиг вручную
vi /conf/config.xml
найти запись типа где я звездочками указал на то место где будет тот IP что вы ввели любой из сети Лан А. его заменить на 1.1.1.2<gateways><gateway_item><interface>lan</interface>
<gateway>********</gateway>
<name>Gate_for_IPSEC_B</name>
<weight>1</weight></gateway_item></gateways>Ну вроди настройка ПФсенса А закончено, ребутим
Настраиваем ПФСенсе Б
Все точно также как и для А но с точностью наоборот зеркально.Единственное Пункт 6 надо заменить на чтот отипа такого.
vi /conf/config.xml
сделать типа такого<gateways><gateway_item><interface>lan</interface>
<gateway>1.1.1.1</gateway>
<name>Gate_for_IPSEC_A</name>
<weight>1</weight></gateway_item></gateways><staticroutes><route><network>0.0.0.0/0</network>
<gateway>Gate_for_IPSEC_A</gateway></route>Далее если WAN A и WAN B лежат в разных сетях, то надо еще сделать маршрут для IP WAN B до IP WAN A чтобы ПФСЕНСы могли друг друга видеть даже если еще IPSec не поднялся. и это тоже надо сделать в конфиге чтобы после ребуто все работало
к примеру если у WAN B было чтото типа такого
WAN B
IP - x.x.x.y
GW - x.x.x.x
WAN A
IP - y.y.y.yесли через шел то route add y.y.y.y x.x.x.x
Далее надо сделать поумолчанию маршрут на 1.1.1.1 это означть будет что весь драфик заварачивать на ПФСЕНСЕ А внутри нашего шифрованного канала
route delete default
route add default 1.1.1.1Я попробовал на виртуалках все уменя заработало.
Желаю Удачи.</staticroutes>