IPsec: Помогите разобраться с маршрутизацией



  • Добрый день!

    Описываю ситуацию:
    есть локалка A: 192.168.75.0/24
    её основной шлюз — 192.168.75.225
    локалка А имеет доступ в интернет. (WAN, белый IP)

    есть локалка B: 192.168.51.0/24
    её основной шлюз — 192.168.51.225
    локалка B не имеет доступа в интернет, есть только доступ до локалки А. (WAN, серый IP 10.x.x.x)

    На основных шлюзах локальных сетей установлен pfSense 2.0. Сети объединены при помощи туннеля IPsec.
    Результат: из сети А пингуется сеть B и из сети B пингуется сеть А.

    Итак, собственно сам вопрос:
    Цель: В локалке B должен быть интернет. Получать она его должна из локалки A.
    Вопрос, как прописать маршрутизацию в сетях и позволяет ли IPsec туннели реализовать заданное?



  • Правила fw покрутите. И всё заработает.



  • Знать бы, какие именно.
    Пока что на ум ничего не приходит. Поэтому и обратился за помощью.



  • сам не делал ни разу, но тут все же надо делать роутинг, чтобы весь трафик по умолчанию уходил на сеть А а там уже его натить во вне. и все это завязать на маршрутах.
    ну типа дефаулт гейт сделать на 75.225 а там поднять нат для сети 51

    Либо поднять нат На сети А на ван интерфейсе для Ван сети Б и весь трафик из сети Б сделать маршрут по умолчанию на Ван А.

    может чего и не так говорю.  но по любому нужны маршруты.



  • Сделать для 51 сети дефолтгей 192.168.75.225 не получится, они в разных подсетях.

    Тут, видимо нужно как-то наттинг прописать, потому что проблем с доступом из 75й в 51ю и наоборот — нету. Нужен интернет из 75й в 51ю.

    Принцип-то понятен.
    Но вот что прописать в pfsense — я не знаю.



  • Попробуй сделать проще.
    Подыми PPTP сервер на Сети А на ВАне. а на сети Б на Ване сделай подключение ППТР до Сервера сети А, тем самым по умолчанию весь трафик для внешнеего интернета пойдет по ВПН подключению с сети Б через сеть А.



  • с pptp или OpenVPN проблем нет.
    но мне же нужен именно IPsec.



  • @krotish:

    Добрый день!

    Описываю ситуацию:
    есть локалка A: 192.168.75.0/24
    её основной шлюз — 192.168.75.225
    локалка А имеет доступ в интернет. (WAN, белый IP)

    есть локалка B: 192.168.51.0/24
    её основной шлюз — 192.168.51.225
    локалка B не имеет доступа в интернет, есть только доступ до локалки А. (WAN, серый IP 10.x.x.x)

    На основных шлюзах локальных сетей установлен pfSense 2.0. Сети объединены при помощи туннеля IPsec.
    Результат: из сети А пингуется сеть B и из сети B пингуется сеть А.

    Итак, собственно сам вопрос:
    Цель: В локалке B должен быть интернет. Получать она его должна из локалки A.
    Вопрос, как прописать маршрутизацию в сетях и позволяет ли IPsec туннели реализовать заданное?

    настройки IPSEC A
    LocalSubnet 0.0.0.0/0
    RemoteSubnet 192.168.51.0/24

    настройки IPSEC B
    LocalSubnet LanSubnet
    RemoteSubnet 0.0.0.0/0

    на маршрутизаторе A в NAT добавить 192.168.51.0/24



  • Спасибо огромное за отклик!

    Однако, вопрос,

    на маршрутизаторе A в NAT добавить 192.168.51.0/24

    каким образом добавляется в NAT?



  • настройки IPSEC A
    LocalSubnet 0.0.0.0/0
    RemoteSubnet 192.168.51.0/24

    настройки IPSEC B
    LocalSubnet LanSubnet
    RemoteSubnet 0.0.0.0/0

    при такой конфигурации сети перестали видеть друг друга.



  • Получилось твой вариант сделать. но через веб морду у тебя это не выйдет все сделать. т.к. гейты он не даст установить те которые необходимо ввести. я для этого через шел конфигурил хмл файл

    давай тебе сделаю маленький пример. имеем пустые по умолчанию настройки.

    Офис А с выходом в инет.
    Офис Б без выхода в инет.

    Настраиваем ПФСЕНС офиса А.
    1. Разрешим на ване А туда и обратно трафик для Вана Б
    типа такого
    Разрешить все на ВанИнтерфейсе для IP (ВанИфейс Б) на IP (ВанИфейс А)
    и наоборот
    Разрешить все на ВанИнтерфейсе IP (ВанИфейс А) на IP (ВанИфейс Б)

    2. делаем gif

    Interfaces: Assign network ports : Gif
    Жмем добавить Гиф
    Parent interface - WAN
    gif remote address - IP ( WAN B )
    gif tunnel local address - 1.1.1.1/30
    gif tunnel remote address - 1.1.1.2/30
    далее галок ни где не ставим.
    можно сделать описание Гифа

    Жмем сохранить.

    3. создаем IPSec

    а - добавляем ключ
    заходим VPN: IPsec: Keys
    жмем Pre-shared keys
    Жмем добавить

    Identifier -  IP ( WAN B )
    Pre-shared key - (Ключ соединения)

    б - добавляем сам IPSEC
    Interface - WAN
    RemGate - IP (Wan B)
    Descr - IPSec
    AuthMetod - PSK
    Mode - Aggresive
    My id - My IP
    Peer id - Peer IP
    PreShKey - (Ключ соединения)
    Proposal Checking - default
    Encryption algorithm - 3des
    hash alg - sha1
    DH key group - 2
    lifetime - 28880
    NAT Traversal - disable
    dpd - галка
    10
    5

    сохранить

    в. добавляем что шифровать
    VPN: IPsec: Edit Phase 2
    mode - transport
    proto -esp
    encriptAlg - 3DES
    Hashalg - SHA1 MD5
    PFS  - 2
    lifetime - 3600
    ping host - 1.1.1.2

    сохранить.

    4. в Рулесах делаем правило для IPSEC разрешить всем все.
    5. идем в роутинг и добавляем гате для офиса Б -

    System: Gateways
    Interface - LAN
    name - Gate_for_IPSEC_B
    GateWay - 1.1.1.2
    Descr - Gate_for_IPSEC_B

    Тут он тебе не даст сохранить. Поэтому для начало напишим любой IP из сети LAN A и жмем сохранить.

    6. добавим сеть для маршрутизации офиса Б.
    System: Static Routes
    Destination network - Вся сеть Lan B (b.b.b.b/24)
    Gateway - Тот что мы сделали в пункте 5.
    описание - Gate_for_IPSEC_B
    сохраняем.

    Ну почти и все. осталось зайти через шел и исправить конфиг вручную
    vi /conf/config.xml
    найти запись типа где я звездочками указал на то место где будет тот IP что вы ввели любой из сети Лан А. его заменить на 1.1.1.2

    <gateways><gateway_item><interface>lan</interface>
                           <gateway>********</gateway>
                           <name>Gate_for_IPSEC_B</name>
                           <weight>1</weight></gateway_item></gateways>

    Ну вроди настройка ПФсенса А закончено, ребутим

    Настраиваем ПФСенсе Б
    Все точно также как и для А но с точностью наоборот зеркально.

    Единственное Пункт 6 надо заменить на чтот отипа такого.
    vi /conf/config.xml
    сделать типа такого

    <gateways><gateway_item><interface>lan</interface>
                           <gateway>1.1.1.1</gateway>
                           <name>Gate_for_IPSEC_A</name>
                           <weight>1</weight></gateway_item></gateways>

    <staticroutes><route><network>0.0.0.0/0</network>
                           <gateway>Gate_for_IPSEC_A</gateway></route>

    Далее если WAN A и WAN B лежат в разных сетях, то надо еще сделать маршрут для IP WAN B до IP WAN A чтобы ПФСЕНСы могли друг друга видеть даже если еще IPSec не поднялся. и это тоже надо сделать в конфиге чтобы после ребуто все работало

    к примеру если у WAN B было чтото типа такого  
    WAN B  
    IP - x.x.x.y
    GW - x.x.x.x
    WAN A
    IP - y.y.y.y

    если через шел то route add y.y.y.y x.x.x.x
    Далее надо сделать поумолчанию маршрут на 1.1.1.1 это означть будет что весь драфик заварачивать на ПФСЕНСЕ А внутри нашего шифрованного канала
    route delete default
    route add default 1.1.1.1

    Я попробовал на виртуалках все уменя заработало.
    Желаю Удачи.</staticroutes>


Locked