Нет доступа в интернет у пользователей
-
Антивирусы Каспер ворк стэйшн 6.
именно так. из всего того, что есть в подсети, компы не видят только сенс -
по моему антивирь заблокировал работу с сенсем.
-
На отдельно взятых машинах?
попробую снести управляющий модуль и агенты администрирования -
сразу сносить? а по логам антивирь что нить показывает? может просто отключить что нить у него?
-
Ну сносить это я погорячился) Просто службы выключил.
По логам у него со sql базой беда и всё. но проблема эта давно уже
Политики для серверов и рабочих станций я у него отключил сразу… -
С отключением касперского, удалением его и модуля администрирования с клиентской машины ничего не изменилось(
-
Попробуйте полную проверку касперским на вирусы, а ещё можно пробежаться Spybot - Search & Destroy
(safer-networking.org) помогает. И AVZ тоже можно прогнать.
А вообще - удалите из списка оборудования сетевую карту на проблемных компьютерах.
Чтобы система заново нашла сетевую карту и заново её сконфигурировала.
Несколько раз такое дело помогало. -
Удаление сетевой карты не помогло.
Сейчас попробую антивирусниками прогнать -
Проверка показала, что комп чистый.
Попробовал поставить другой шлюз - накатил ubuntu server, настроил подключение…. и всё работает Оо не понимаю, что не так с сенсом
-
Даже страшно как-то! :)
Т.е. на проблемных компьютерах пинги проходят на соседние компы, сервер, а на шлюз - pfSense не проходят?
А свичи у вас управляемые, может их перезагрузить?
А не пробовали на проблемных компьютерах прописать ip-шники тех компьютеров, которые работают
с pfSense? -
Именно так - пингуется вся подсеть, кроме шлюза (на котором сенс).
Свичи тупые длинки, я их даже заменять пробовал на точно рабочие))
Ипшники рабочих машин пробовал присваивать - бестолку)Вопрос конечно не по адресу, но может кто подсказать, как ipsec в ubuntu поднять?
Собсно нужно два подключения сеть-сеть сделать…
Как понимаю, создаётся ещё два интерфейса в нетворкс и.... и дальше я хз( -
А если воткнуть внешнюю сетевушку вместо встроенного сетевого адаптера?
-
Пробовал. Обе сетевухи заменил. Эффекта нет
-
А вот ещё мысль - сделать загрузочный диск касперского и с него загрузиться.
Железо то же, заодно тщателнее проверите комп на вирусы и заодно и сеть проверите -
у диска касперского ip-шники по dhcp назначаются или вручную.
Если с диска интернет заработает, то, значит в операционке что-то не то, может её снести
начисто. -
Воу-воу… Проверить шлюз или что? Смысла проверять только что переставленую фряху я не вижу, а со сменой сенса на убунту гейт инет шустро бегает у всех.
Если дальше пользоваться сенсом, что мне очень хочется, то нужно понять, какого ражна он режет трафик. А я этого не понимаю... Толи дурак, толи опыта в работе с сенсом мало -
Т.е. на железке вместо pfSense поставили ubuntu и везде появился интерет, даже на проблемных компах?
Тогда просто нет мыслей.
У себя поставил, тридцать компов сенс обслуживает без проблем. -
Воу-воу… Проверить шлюз или что? Смысла проверять только что переставленую фряху я не вижу, а со сменой сенса на убунту гейт инет шустро бегает у всех.
Если дальше пользоваться сенсом, что мне очень хочется, то нужно понять, какого ражна он режет трафик. А я этого не понимаю... Толи дурак, толи опыта в работе с сенсом малоИмелось в виду загрузиться с диска касперского на проблемном компе.
-
@3vs:
Имелось в виду загрузиться с диска касперского на проблемном компе.
смогу попробовать только завтра, но более чем уверен, что результат будет тот же(
-
Как и говорил, шлюза с лайф сиди не увидел.
Так что продолжил поднимать всё на убунте.
ipsec решил реализовать через racoon. и Возникла проблема с настройкой конфига для подключения.Делал по этому ману - http://ubuntologia.ru/forum/viewtopic.php?f=93&t=1688
eth0 - внешний интерфейс 213.79.*.162
eht1 - внутренний интерфейс 192.168.1.2/etc/racoon/racoon.conf
log notify;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";listen {
isakmp 213.79..162[500];
isakmp_natt 213.79..162[4500];
strict_address;
}
remote 79.171.*.10 { # IP нашего пира
exchange_mode main; # режим обмена
my_identifier address;
peers_identifier address;
lifetime time 24 hour; # время жизни первой фазы
proposal { # секция определения предложений
encryption_algorithm aes 256; # алгоритм криптования
hash_algorithm md5; # алгоритм хеширования
authentication_method pre_shared_key; #метод аутентификации, у нас - шаренные ключи
dh_group modp1024; # группа Диффи-Хеллмана
}
generate_policy off;
nat_traversal on; # отключаем nat-traversal
}
sainfo address 192.168.1.0/24 any address 192.168.2.0/24 any { # IPSEC SA
pfs_group modp1024; # группа Диффи-Хеллмана
lifetime time 1 hour; # время жизни второй фазы
encryption_algorithm aes 256; # алгоритм криптования
authentication_algorithm hmac_md5; # алгоритм аутентификации
compression_algorithm deflate; # алгоритм компрессии
}remote 109.195.*.144 { # IP нашего пира
my_identifier address;
peers_identifier address;
exchange_mode main;
lifetime time 24 hour; # время жизни первой фазы
proposal { # секция определения предложений
encryption_algorithm aes 256; # алгоритм криптования
hash_algorithm md5; # алгоритм хеширования
authentication_method pre_shared_key; #метод аутентификации, у нас - шаренные ключи
dh_group modp1024; # группа Диффи-Хеллмана
}
generate_policy off;
nat_traversal on; # отключаем nat-traversal
}
sainfo address 192.168.1.0/24 any address 192.168.7.0/24 any { # IPSEC SA
pfs_group modp1024; # группа Диффи-Хеллмана
lifetime time 1 hour; # время жизни второй фазы
encryption_algorithm aes 256; # алгоритм криптования
authentication_algorithm hmac_md5; # алгоритм аутентификации
compression_algorithm deflate; # алгоритм компрессии
}/etc/ipsec-tools.conf
flush; #сбросить ассоциации безопасности (SAD)
spdflush; # сбросить политики безопасности (SPD)spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec
esp/tunnel/213.79..162-79.171..10/require; # добавление (SPD), исходящий трафикspdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec
esp/tunnel/79.171..10-213.79..162/require; # добавление (SPD), входящий трафикspdadd 192.168.1.0/24 192.168.7.0/24 any -P out ipsec
esp/tunnel/213.79..162-109.195..144/require; # добавление (SPD), исходящий трафикspdadd 192.168.7.0/24 192.168.1.0/24 any -P in ipsec
esp/tunnel/109.195..144-213.79..162/require; # добавление (SPD), входящий трафикПравила для iptables
iptables -A INPUT -i eth0 -s 79.171..10 -p udp –sport 500 --dport 500 -j ACCEPT
iptables -A INPUT -i eth0 -s 79.171..10 -p udp --sport 4500 --dport 4500 -j ACCEPT
iptables -A INPUT -s 79.171..10 -p esp -j ACCEPT
iptables -A INPUT -s 192.168.2.0/24 -d 192.168.1.2 -m policy --dir in --pol ipsec --proto esp --mode tunnel --tunnel-src 79.171..10 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -m policy --dir in --pol ipsec --proto esp --mode tunnel --tunnel-src 79.171..10 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -m policy --dir out --pol ipsec --proto esp --mode tunnel --tunnel-dst 79.171..10 -j ACCEPTiptables -A INPUT -i eth0 -s 109.195..144 -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A INPUT -i eth0 -s 109.195..144 -p udp --sport 4500 --dport 4500 -j ACCEPT
iptables -A INPUT -s 109.195..144 -p esp -j ACCEPT
iptables -A INPUT -s 192.168.7.0/24 -d 192.168.1.2 -m policy --dir in --pol ipsec --proto esp --mode tunnel --tunnel-src 109.195..144 -j ACCEPT
iptables -A FORWARD -s 192.168.7.0/24 -d 192.168.1.0/24 -m policy --dir in --pol ipsec --proto esp --mode tunnel --tunnel-src 109.195..144 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.7.0/24 -m policy --dir out --pol ipsec --proto esp --mode tunnel --tunnel-dst 109.195..144 -j ACCEPTsyslog
Jul 20 16:58:56 gate racoon: ERROR: phase1 negotiation failed due to time up. 5fc1652adcda1775:3a429d607f27eec3
Jul 20 16:59:34 gate kernel: [ 105.128053] device eth0 entered promiscuous mode
Jul 20 17:00:24 gate racoon: ERROR: phase1 negotiation failed due to time up. d33bc453fee06021:40613e8b464775f4
Jul 20 17:00:41 gate kernel: [ 171.859603] device eth0 left promiscuous mode
Jul 20 17:01:46 gate racoon: [79.171..10] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 79.171..10[0]->213.79..162[0]
Jul 20 17:01:46 gate racoon: [109.195..144] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 109.195..144[0]->213.79..162[0]
Jul 20 17:01:47 gate racoon: INFO: @(#)ipsec-tools 0.8.0 (http://ipsec-tools.sourceforge.net)
Jul 20 17:01:47 gate racoon: INFO: @(#)This product linked OpenSSL 1.0.1f 6 Jan 2014 (http://www.openssl.org/)
Jul 20 17:01:47 gate racoon: INFO: Reading configuration from "/etc/racoon/racoon.conf"
Jul 20 17:02:46 gate racoon: [79.171..10] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 79.171..10[0]->213.79..162[0]
Jul 20 17:02:46 gate racoon: [109.195..144] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 109.195..144[0]->213.79..162[0]
Jul 20 17:03:05 gate racoon: ERROR: phase1 negotiation failed due to time up. b8bd7b3615c17888:0000000000000000
Jul 20 17:03:05 gate racoon: ERROR: phase1 negotiation failed due to time up. ed74af394e9229d5:0000000000000000
Jul 20 17:03:27 gate kernel: [ 338.020048] device eth0 entered promiscuous mode
Jul 20 17:03:46 gate racoon: [79.171..10] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 79.171..10[0]->213.79..162[0]
Jul 20 17:03:46 gate racoon: [109.195..144] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 109.195..144[0]->213.79..162[0]
Jul 20 17:03:53 gate kernel: [ 363.622724] device eth0 left promiscuous mode
Jul 20 17:04:05 gate racoon: ERROR: phase1 negotiation failed due to time up. ed1512d4f081ad17:0000000000000000
Jul 20 17:04:05 gate racoon: ERROR: phase1 negotiation failed due to time up. bc66850913b8d8bd:0000000000000000
Jul 20 17:04:24 gate racoon: ERROR: phase1 negotiation failed due to time up. b55ee4ff08faf174:0b0b17b68a7fad47tcpdump -n -i eth0 port 500
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
17:30:34.381624 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident
17:30:34.381800 IP 213.79..162.500 > 109.195..144.500: isakmp: phase 1 R ident
17:30:34.403105 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident
17:30:34.405778 IP 213.79..162.500 > 109.195..144.500: isakmp: phase 1 R ident
17:30:34.425782 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident[E]
17:30:36.152020 IP 213.79..162.500 > 79.171..10.500: isakmp: phase 1 ? ident
17:30:36.156894 IP 79.171..10.500 > 213.79..162.500: isakmp: phase 1 ? ident[E]
17:30:36.157071 IP 79.171..10.500 > 213.79..162.500: isakmp: phase 1 ? ident[E]
17:30:44.414091 IP 213.79..162.500 > 109.195..144.500: isakmp: phase 1 R ident
17:30:44.431024 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident[E]
17:30:44.431374 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident[E]Настройки, одного из подключений, в сенсе были следующие
Как понимаю не проходит аутентификация. Как быть? вроде указал все настпройки
-
получилась странная ситуация…
remote 109.195..144 поднялся в обеих фазах, а remote 79.171..10 не проходит даже первую... причём между собой они имеют устойчивое соединение, а вот со мной только первый соединился... Настройки все уже перелопачены не раз, где может быть косяк даже не знаю...
Кстати 109.195..144 и 79.171..10 это два pfsens шлюза...Единственное, что 109.195.*.144 пишет в логи...
racoon: WARNING: PF_KEY EXPIRE message received from kernel for SA being negotiated. Stopping negotiation.У 79.171.*.10 всё по старому
racoon: ERROR: phase1 negotiation failed due to time up. 6b963bbcbf0458c4:36fce3f6321c097d