IPSec между филиалами, на одом из которых 2 прова&#



  • Что есть:
    1. Прокси сервер TMG (нужен без него (скажем так у меня) не получиться публикация Exchange - мобильный доступ к почте, и FTP)
    2. Pfsense_STV - 4 Ethenet порта (1-2 порт для двух провайдеров, 3 для TMG, 4 для локальной сети)
    3. Два провайдера
    4 Pfsense в филиале

    Что хочу получить:
    1. Pfsense должен отдавать интернет от основного провайдера на прокси TMG без фильтрации и урезания каких либо портов
    2. На резервном поднять IPSec
    3. Переключаться на резерв, при пропадании интернета на основном
    4. Поднятие IPSec на основном при пропадании резерва, не нужно (или стоит в саааааамом низком приоритете)

    Не смог поднять IPSec между TMG и pfsense
    Поэтому поставил перед TMG pfsense, но пока только завел в pfsense - резервный интернет канал на нем поднял IPSec между филиалом и офисом, но пинг идет только с офиса (10.201.114.0) и то только на Pfsense (10.201.115.1) дальше него не идет. С филиала пинги вообще не идут, но P web pfsense_STV открывается.

    ![Скриншот 2014-03-05 13.25.27.png](/public/imported_attachments/1/Скриншот 2014-03-05 13.25.27.png)
    ![Скриншот 2014-03-05 13.25.27.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-05 13.25.27.png_thumb)
    ![Скриншот 2014-03-12 11.50.58.png](/public/imported_attachments/1/Скриншот 2014-03-12 11.50.58.png)
    ![Скриншот 2014-03-12 11.50.58.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-12 11.50.58.png_thumb)
    ![Скриншот 2014-03-12 11.51.10.png](/public/imported_attachments/1/Скриншот 2014-03-12 11.51.10.png)
    ![Скриншот 2014-03-12 11.51.10.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-12 11.51.10.png_thumb)



  • Прокси сервер TMG (нужен без него (скажем так у меня) не получиться публикация Exchange - мобильный доступ к почте, и FTP)

    Проблема с пробросом портов?
    TMG - лишний серъезный костыль. Очень постарайтесь обойтись без него . Иначе куча проблем обеспечена 146% :-\



  • Вот что с настройками, помогите пожалуйста!!
    TMG работает уже больше 2 лет и никаких проблем с ним, но появился резервный провайдер и еще и филиал и начались проблемы.
    На TMG куча правил…

    ![Скриншот 2014-03-12 12.03.31.png](/public/imported_attachments/1/Скриншот 2014-03-12 12.03.31.png)
    ![Скриншот 2014-03-12 12.03.31.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-12 12.03.31.png_thumb)
    ![Скриншот 2014-03-12 12.20.21.png](/public/imported_attachments/1/Скриншот 2014-03-12 12.20.21.png)
    ![Скриншот 2014-03-12 12.20.21.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-12 12.20.21.png_thumb)



  • Правило fw на LAN,WAN, OPT1 оставьте одно (временно!) - разрешено всё всем и отовсюду и по любым протоколам.
    После этого включаете логирование fw и смотрите что именно блокируется.



  • Не получается вот, что пишет лог

    ![Скриншот 2014-03-12 13.31.04.png](/public/imported_attachments/1/Скриншот 2014-03-12 13.31.04.png)
    ![Скриншот 2014-03-12 13.31.04.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-12 13.31.04.png_thumb)



  • Правила NAT покажите.

    P.s. У вас в логах fw есть запись с 500-ым портом. Это как раз к IPSEC относится - разрешите коннект.



  • Они у меня пустые(((
    никаких правил я не делал, что там надо сделать?
    В логах это не мой IP адрес пытается лезть по протоколу IPSec



  • Переносите все правила из TMG на pf. После этого TMG выключаете и работаете по-людски.



  • Давайте так, если шлюзом по умолчанию стоит и там и там Pfsense и не работает локальная сеть между филиалами то стоящий сейчас в локальной сети TMG не может сильно влиять на сеть.
    Подскажите нужно что-нибудь править в NAT чтобы пакеты забегали протоколы запрыгали))



  • В логах это не мой IP адрес пытается лезть по протоколу IPSec

    Вообще-то это Ваши pfsense не могут связаться друг с другом.

    Удалите все правила на WAN обоих pf. И создайте по одному на WAN вида :

    IPv4  *    *  WAN address  *    *  *

    ![2014-03-18 12_55_34-IPSec.jpg](/public/imported_attachments/1/2014-03-18 12_55_34-IPSec.jpg)
    ![2014-03-18 12_55_34-IPSec.jpg_thumb](/public/imported_attachments/1/2014-03-18 12_55_34-IPSec.jpg_thumb)
    ![2014-03-18 12_56_22-IPSec.jpg](/public/imported_attachments/1/2014-03-18 12_56_22-IPSec.jpg)
    ![2014-03-18 12_56_22-IPSec.jpg_thumb](/public/imported_attachments/1/2014-03-18 12_56_22-IPSec.jpg_thumb)



  • Ошибка в логах IPSec
    Mar 18 15:47:12 racoon: [Stavropol]: INFO: IPsec-SA established: ESP 109.168.159.170[500]->95.31.241.231[500] spi=55788634(0x353445a)
    Mar 18 15:47:12 racoon: [Stavropol]: INFO: IPsec-SA established: ESP 109.168.159.170[500]->95.31.241.231[500] spi=84066066(0x502bf12)
    Mar 18 16:00:42 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
    Mar 18 16:00:52 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
    Mar 18 16:01:02 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
    Mar 18 16:01:12 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
    Mar 18 16:01:22 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.
    Mar 18 16:01:32 racoon: [91.208.161.10] ERROR: exchange Identity Protection not allowed in any applicable rmconf.

    У меня сейчас мозг сломается.
    На обоих WAN я поставил правила, как вы сказали…
    На виртуальном OPT1 надо правила исправить?

    Вот здесь нашел http://visualplanet.org/blog/?p=248
    Не силен в английском, надо на обоих концах поставить main, если на другом исправляю на агрессивный подключение вообще не идет, а сдесь идет подключение, но с ошибками.

    ![Скриншот 2014-03-18 15.49.50.png](/public/imported_attachments/1/Скриншот 2014-03-18 15.49.50.png)
    ![Скриншот 2014-03-18 15.49.50.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-18 15.49.50.png_thumb)
    ![Скриншот 2014-03-18 15.50.07.png](/public/imported_attachments/1/Скриншот 2014-03-18 15.50.07.png)
    ![Скриншот 2014-03-18 15.50.07.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-18 15.50.07.png_thumb)



  • Кажется я начинаю понимать, вот что в логах при попытке пинговать удаленную машину
    В качестве DNS на машинах я писал 8.8.8.8. Но это же не должно мешать при попытке пинга, в этом случае я же пишу сразу IP а не dns имя этой машины почему он его не видит.

    ![Скриншот 2014-03-18 17.47.19.png](/public/imported_attachments/1/Скриншот 2014-03-18 17.47.19.png)
    ![Скриншот 2014-03-18 17.47.19.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-18 17.47.19.png_thumb)
    ![Скриншот 2014-03-18 17.50.52.png](/public/imported_attachments/1/Скриншот 2014-03-18 17.50.52.png)
    ![Скриншот 2014-03-18 17.50.52.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-18 17.50.52.png_thumb)



  • На виртуальном OPT1 надо правила исправить?

    Что за интерфейс ? Откуда он взялся?



  • Билайн поднят l2tp, а он делается через отдельное виртуальное соединение.
    На скриншотах он есть.



  • Попробуйте настроить работу IPSEC между pf используя только одного пров-ра.  Если после этого трафик между ними забегает в обе стороны - потом со вторым разберемся.

    P.s. Бред конечно, но https://forum.pfsense.org/index.php?topic=39656.0 :

    In some places pptp, l2tp and ipsec is blocked via firewall rules, openvpn is quite hard to block, unless you block https also. Only my 2 cents

    Не получится IPSEC - поднимайте OpenVPN.



  • Сейчас подключен только один провайдер Билайн через l2tp
    Второй воткнут на прямую в TMG и пока эти два провайдера никак не связаны.
    Это если я все таки доделаю VPN между филиалом и офисом то тогда буду думать об резервировании и всем остальном.
    Билайн который сейчас воткнут в Pfsense вообще никак не используется только для того чтобы заработал vpn

    Поднял OpenVPN те же проблемы:
    Пинг идет c офиса (10.201.114.0/24) на филиал, но только на прокси 10.201.115.1 на все остальное не идет
    обратно пинг не идет вообще не на какую машину.

    Сервер в офисе (10.201.114.2) не является dhcp сервером не dns сервером, на все это есть AD сервер
    Может это все таки настройки форварда внутри Pfsense?

    ![Скриншот 2014-03-19 16.51.29.png](/public/imported_attachments/1/Скриншот 2014-03-19 16.51.29.png)
    ![Скриншот 2014-03-19 16.51.29.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-19 16.51.29.png_thumb)
    ![Скриншот 2014-03-19 16.51.45.png](/public/imported_attachments/1/Скриншот 2014-03-19 16.51.45.png)
    ![Скриншот 2014-03-19 16.51.45.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-19 16.51.45.png_thumb)



  • Директивы route\iroute применяли ?



  • Нет, не делал.
    Добавил запись и стало пинговаться все компьютеры со стороны филиала(10.201.115.0.24), а со стороный офиса (10.201.114.0.24) пинги и доступ не идет.
    И еще подскажите как сделать так чтобы все запросы не относящиеся к пулу адресов 10.201.115.0/24, т.е. все остальное он переадресовывал на другой IP.
    знаю как это сделать в windows "route add -p 0.0.0.0 mask 0.0.0.0 10.201.114.5"
    Но где это писать в Pfsense и как писать не знаю

    ![Скриншот 2014-03-20 15.08.42.png](/public/imported_attachments/1/Скриншот 2014-03-20 15.08.42.png)
    ![Скриншот 2014-03-20 15.08.42.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-20 15.08.42.png_thumb)
    ![Скриншот 2014-03-20 15.16.19.png](/public/imported_attachments/1/Скриншот 2014-03-20 15.16.19.png)
    ![Скриншот 2014-03-20 15.16.19.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-20 15.16.19.png_thumb)



  • На первом скрине уберите записи в Advanced. Вы и так уже выше объявили маршруты и в локальную и в удаленную сети.
    Далее, для того чтобы сеть за сервером "увидела" сеть за клиентом применяется директива iroute . Запись с ней вносится во вкладке Client-Specific Overrides: Advanced settings на Опенвпн-сервере :

    iroute 192.168.0.1 255.255.255.0 vpn_gateway;

    Вместо 192.168.0.1 255.255.255.0 внесите свои данные

    P.s. http://blog.stefcho.eu/?p=611



  • В OpenVPN в режиме сервера тунель поднимается только клиентом те в одностороннем порядке. IPSEC в этом плане более продвинут.

    Для коректной маршрутизации используйте iroute с обеих сторон.

    Еще рекомендую сделать адреса клиентов статическими, http://www.sergeysl.ru/freebsd-openvpn-client-static-ip/



  • @SysR:

    В OpenVPN в режиме сервера тунель поднимается только клиентом те в одностороннем порядке.

    Так никто и не спорит.

    IPSEC в этом плане более продвинут.

    С чего бы это? IPSEC работает только на сетевом уровне OSI, OpenVPN же может на 2-ух.

    Для коректной маршрутизации используйте iroute с обеих сторон.

    Первый раз такое слышу. Директива iroute - это серверная директива.



  • @werter:

    На первом скрине уберите записи в Advanced. Вы и так уже выше объявили маршруты и в локальную и в удаленную сети.

    Если убираю эту запись доступ к клиента за сервер пропадает.
    Так же странно, могу пинговать сеть за сервером, но dns адреса не проходят.
    Адреса содержаться на AD контролере (DNS-сервер), который стоит в сети за сервером OpenVPN. Он пингуется и даже nslookup дает ответ на вопросы по сетевым адресам. Но когда пытаешься получить пинг на адрес, пишет не найдено.

    По dns адресам он обращается в адресу 10.201.114.10
    Это основной dns, но в таблице маршрутизации он почемуто идет отдельной графой и на какой то левый шлюз, как его убрать оттуда?

    ipconfig /all с машины:
    Настройка протокола IP для Windows

    Имя компьютера  . . . . . . . . . : WKS-PTG-05
      Основной DNS-суффикс  . . . . . . : vist-media.local
      Тип узла. . . . . . . . . . . . . : Гибридный
      IP-маршрутизация включена . . . . : Нет
      WINS-прокси включен . . . . . . . : Нет
      Порядок просмотра суффиксов DNS . : vist-media.local

    Ethernet adapter Local Area Connection:

    DNS-суффикс подключения . . . . . :
      Описание. . . . . . . . . . . . . : Realtek PCIe FE Family Controller
      Физический адрес. . . . . . . . . : 00-00-00-00-F0-00
      DHCP включен. . . . . . . . . . . : Нет
      Автонастройка включена. . . . . . : Да
      IPv4-адрес. . . . . . . . . . . . : 10.201.115.11(Основной)
      Маска подсети . . . . . . . . . . : 255.255.255.0
      Основной шлюз. . . . . . . . . : 10.201.115.1
      DNS-серверы. . . . . . . . . . . : 10.201.114.11
                                          10.201.114.10
                                          10.201.115.1
      NetBios через TCP/IP. . . . . . . . : Включен

    ![Скриншот 2014-03-21 09.57.24.png](/public/imported_attachments/1/Скриншот 2014-03-21 09.57.24.png)
    ![Скриншот 2014-03-21 09.57.24.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-21 09.57.24.png_thumb)
    ![Скриншот 2014-03-21 10.00.36.png](/public/imported_attachments/1/Скриншот 2014-03-21 10.00.36.png)
    ![Скриншот 2014-03-21 10.00.36.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-21 10.00.36.png_thumb)
    ![Скриншот 2014-03-21 10.17.21.png](/public/imported_attachments/1/Скриншот 2014-03-21 10.17.21.png)
    ![Скриншот 2014-03-21 10.17.21.png_thumb](/public/imported_attachments/1/Скриншот 2014-03-21 10.17.21.png_thumb)



  • Попробуйте сделать следующее:
    Уберите все дополнительные настройки и укажите маршруты вручную через консоль или System -> Routing.
    На роутерах укажите маршрутизацию сетей к филиалам:
    На сервере route add 10.201.115.0/24 10.201.8.2 внетрений адрес клиента опенвпн
    На клиенте route add 10.201.114.0/24 10.201.8.1 внутрений адрес сервера опенвпн



  • @SysR:

    Попробуйте сделать следующее:

    На сервере route add 10.201.115.0/24 10.201.8.2 внетрений адрес клиента опенвпн
    На клиенте route add 10.201.114.0/24 10.201.8.1 внутрений адрес сервера опенвпн

    Ни в коем случае. Маршрутизацией должны заниматься его pfsense на обоих концах, а не вручную рисоваться.

    2 ТС

    Покажите скриншот Certificates на сервере. У Вас все машины в обеих сетях имеют шлюзами pfsense?



  • Ни в коем случае. Маршрутизацией должны заниматься его pfsense на обоих концах, а не вручную рисоваться.

    Я про ПФсенсы и пишу.
    На время отладки можно и в ручную нарисовать, но Вы можете дальше пробовать попадать пальцем в небо, дело ваше.
    Скажу только что я 2 года назад отказался от использования ОпенВПН в пользу ИПСЕК и ни разу не пожалел, удачи.



  • 2 SysR
    Настроил далеко не одну связку на OpenVPN - работают не первый год и проблем нет. OpenVPN - самое гибкое из VPN решений.
    "Вы не любите, кошек? Вы просто не умеете их готовить" (с) не моё.

    2 Fat32
    Смотрите ЛС.



  • Скажу только что я 2 года назад отказался от использования ОпенВПН в пользу ИПСЕК и не разу не пожалел, удачи.

    Истину глаголите. ^_^



  • +++1



  • Все так же и осталось, все со всех сторон пингуется на IP адреса на DNS адреса со стороны филиала не идут. Решил вопрос пропсам нужные dns адреса в Pfsense. Всем большое спасибо.


Log in to reply