Нет доступа в интернет у пользователей



  • @pigbrother:

    И еще.
    Адаптер Microsoft ISATAP
    у вас откуда?

    На этот вопрос у меня ответа нету… Осталось от прошлого админа.

    netsh winsock reset прощёл нормально, но ничего не изменил



  • @bill_open:

    Попробуйте на проблемном компе добавить в альтернативный dns - 192.168.1.1 (если это ip pfsense), если помогло, то нужно копать dns на winserv. А вообще не мешали бы более подробные настройки: параметры всех интерфейсов, маршруты, правила.

    попробовал поставить - эфекта нету. На винсерве в днсе пересоздал уже зоны прямого и обратного просмотра для сети.

    Сервак
    IPv4 статика, IPv6 динамика. Отключить нельзя - без него эксчень не хочет работать.

    Адрес IPv4: 192.168.1.11
    Маска подсети IPv4: 255.255.255.0
    Шлюз по умолчанию IPv4: 192.168.1.1
    DNS-сервер IPv4: 192.168.1.11
    Локальный IPv6-адрес канала: fe80::f0b3:36e0:4b02:4b13%17

    Шлюз
    адрес 192.168.1.1/24  (его-то и не видят компы)

    В dhcp добавил альтернативным dns сервером сенс - та же хрень.
    Сервак кстати сенс отлично видит и соединения с ним не терял вообще.

    На сенсе сейчас правила только для ipsec и хождения почты.
    На винсерве в брендмауере правил хренова туча, но правила для работы dns, http и dhcp в режиме allow для всех сетей.



  • @bill_open:

    @bill_open:

    Попробуйте на проблемном компе добавить в альтернативный dns - 192.168.1.1 (если это ip pfsense), если помогло, то нужно копать dns на winserv. А вообще не мешали бы более подробные настройки: параметры всех интерфейсов, маршруты, правила.

    А так же, на компе отключите ipv6, проверьте файл host, обновите драйвера на сетевухах, поставьте 100mbithalfduplex, это все для удостоверения, что сетевая работает норм. И на всякий прогоните kk.exe -y -z -х -a -j -l c:\log.log
    скачать его можно с сайта касперского. Но надеюсь все это не нужно.

    ipv6 отключил, в hosts указаны развороты запросов для adobe на 127.0.0.1 (крякали видимо), двайвер обновил, полудуплекс поставил.
    Кидо прогнал, лог прикладываю

    log.txt



  • Прошёлся с ноутом по проблемным компам - ноут на трёх точках работает отлично. Компы так же не работают.
    Косяк не с сенсом - это уже точно ясно.
    На вин серве перенастроен днс - пересозданы зоны прямого и обратного просмотров для сети, сервером пересылки указан сенс.

    Что ещё можно сделать?



  • ДНСы прова с проблемных компов пингуются?
    tracert ДНС прова проходит?
    пробуй на проблемных компах добавить ДНСы прова



  • Пробовал. Не помогает. Днсы не пингуются, трасса не идёт - я ж даже шлюз пинговать не могу, как днс провайдера пинганется при этом?



  • впиши в проблемный комп руками ИП типа 192.168.ххх.ххх маску и шлюз (ип сенса) ДНСы прова.
    пинги на сенс проходят?



  • Тоже пробовал. Не проходят



  • антивирусы на компах какие?
    шлюз (сенс) не видят, а сервер видят?



  • Антивирусы Каспер ворк стэйшн 6.
    именно так. из всего того, что есть в подсети, компы не видят только сенс



  • по моему антивирь заблокировал работу с сенсем.



  • На отдельно взятых машинах?
    попробую снести управляющий модуль и агенты администрирования



  • сразу сносить? а по логам антивирь что нить показывает? может просто отключить что нить у него?



  • Ну сносить это я погорячился) Просто службы выключил.
    По логам у него со sql базой беда и всё. но проблема эта давно уже
    Политики для серверов и рабочих станций я у него отключил сразу…



  • С отключением касперского, удалением его и модуля администрирования с клиентской машины ничего не изменилось(



  • Попробуйте полную проверку касперским на вирусы, а ещё можно пробежаться Spybot - Search & Destroy
    (safer-networking.org) помогает. И AVZ тоже можно прогнать.
    А вообще - удалите из списка оборудования сетевую карту на проблемных компьютерах.
    Чтобы система заново нашла сетевую карту и заново её сконфигурировала.
    Несколько раз такое дело помогало.



  • Удаление сетевой карты не помогло.
    Сейчас попробую антивирусниками прогнать



  • Проверка показала, что комп чистый.

    Попробовал поставить другой шлюз - накатил ubuntu server, настроил подключение…. и всё работает Оо не понимаю, что не так с сенсом



  • Даже страшно как-то!  :)

    Т.е. на проблемных компьютерах пинги проходят на соседние компы, сервер, а на шлюз - pfSense не проходят?
    А свичи у вас управляемые, может их перезагрузить?
    А не пробовали на проблемных компьютерах прописать ip-шники тех компьютеров, которые работают
    с pfSense?



  • Именно так - пингуется вся подсеть, кроме шлюза (на котором сенс).
    Свичи тупые длинки, я их даже заменять пробовал на точно рабочие))
    Ипшники рабочих машин пробовал присваивать - бестолку)

    Вопрос конечно не по адресу, но может кто подсказать, как ipsec в ubuntu поднять?
    Собсно нужно два подключения сеть-сеть сделать…
    Как понимаю, создаётся ещё два интерфейса в нетворкс и.... и дальше я хз(



  • А если воткнуть внешнюю сетевушку вместо встроенного сетевого адаптера?



  • Пробовал. Обе сетевухи заменил. Эффекта нет



  • А вот ещё мысль - сделать загрузочный диск касперского и с него загрузиться.
    Железо то же, заодно тщателнее проверите комп на вирусы и заодно и сеть проверите -
    у диска касперского ip-шники по dhcp назначаются или вручную.
    Если с диска интернет заработает, то, значит в операционке что-то не то, может её снести
    начисто.



  • Воу-воу… Проверить шлюз или что? Смысла проверять только что переставленую фряху я не вижу, а со сменой сенса на убунту гейт инет шустро бегает у всех.
    Если дальше пользоваться сенсом, что мне очень хочется, то нужно понять, какого ражна он режет трафик. А я этого не понимаю... Толи дурак, толи опыта в работе с сенсом мало



  • Т.е. на железке вместо pfSense поставили ubuntu и везде появился интерет, даже на проблемных компах?
    Тогда просто нет мыслей.
    У себя поставил, тридцать компов сенс обслуживает без проблем.



  • @Troll:

    Воу-воу… Проверить шлюз или что? Смысла проверять только что переставленую фряху я не вижу, а со сменой сенса на убунту гейт инет шустро бегает у всех.
    Если дальше пользоваться сенсом, что мне очень хочется, то нужно понять, какого ражна он режет трафик. А я этого не понимаю... Толи дурак, толи опыта в работе с сенсом мало

    Имелось в виду загрузиться с диска касперского на проблемном компе.



  • @3vs:

    Имелось в виду загрузиться с диска касперского на проблемном компе.

    смогу попробовать только завтра, но более чем уверен, что результат будет тот же(



  • Как и говорил, шлюза с лайф сиди не увидел.
    Так что продолжил поднимать всё на убунте.
    ipsec решил реализовать через racoon. и Возникла проблема с настройкой конфига для подключения.

    Делал по этому ману - http://ubuntologia.ru/forum/viewtopic.php?f=93&t=1688

    eth0 - внешний интерфейс 213.79.*.162
    eht1 - внутренний интерфейс 192.168.1.2

    /etc/racoon/racoon.conf

    log notify;
    path pre_shared_key "/etc/racoon/psk.txt";
    path certificate "/etc/racoon/certs";

    listen {
    isakmp 213.79..162[500];
    isakmp_natt 213.79.
    .162[4500];
    strict_address;
    }
    remote 79.171.*.10 { # IP нашего пира
    exchange_mode main; # режим обмена
    my_identifier  address;
    peers_identifier address;
    lifetime time 24 hour; # время жизни первой фазы
    proposal { # секция определения предложений
    encryption_algorithm aes 256; # алгоритм криптования
    hash_algorithm md5; # алгоритм хеширования
    authentication_method pre_shared_key; #метод аутентификации, у нас - шаренные ключи
    dh_group modp1024; # группа Диффи-Хеллмана
    }
    generate_policy off;
    nat_traversal on; # отключаем nat-traversal
    }
    sainfo address 192.168.1.0/24 any address 192.168.2.0/24 any { # IPSEC SA
    pfs_group modp1024; # группа Диффи-Хеллмана
    lifetime time 1 hour; # время жизни второй фазы
    encryption_algorithm aes 256; # алгоритм криптования
    authentication_algorithm hmac_md5; # алгоритм аутентификации
    compression_algorithm deflate; # алгоритм компрессии
    }

    remote 109.195.*.144 { # IP нашего пира
    my_identifier address;
    peers_identifier address;
    exchange_mode main;
    lifetime time 24 hour; # время жизни первой фазы
    proposal { # секция определения предложений
    encryption_algorithm aes 256; # алгоритм криптования
    hash_algorithm md5; # алгоритм хеширования
    authentication_method pre_shared_key; #метод аутентификации, у нас - шаренные ключи
    dh_group modp1024; # группа Диффи-Хеллмана
    }
    generate_policy off;
    nat_traversal on; # отключаем nat-traversal
    }
    sainfo address 192.168.1.0/24 any address 192.168.7.0/24 any { # IPSEC SA
    pfs_group modp1024; # группа Диффи-Хеллмана
    lifetime time 1 hour; # время жизни второй фазы
    encryption_algorithm aes 256; # алгоритм криптования
    authentication_algorithm hmac_md5; # алгоритм аутентификации
    compression_algorithm deflate; # алгоритм компрессии
    }

    /etc/ipsec-tools.conf

    flush; #сбросить ассоциации безопасности (SAD)
    spdflush; # сбросить политики безопасности (SPD)

    spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec
    esp/tunnel/213.79..162-79.171..10/require; # добавление (SPD), исходящий трафик

    spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec
    esp/tunnel/79.171..10-213.79..162/require; # добавление (SPD), входящий трафик

    spdadd 192.168.1.0/24 192.168.7.0/24 any -P out ipsec
    esp/tunnel/213.79..162-109.195..144/require; # добавление (SPD), исходящий трафик

    spdadd 192.168.7.0/24 192.168.1.0/24 any -P in ipsec
    esp/tunnel/109.195..144-213.79..162/require; # добавление (SPD), входящий трафик

    Правила для iptables

    iptables -A INPUT -i eth0 -s 79.171..10 -p udp –sport 500 --dport 500 -j ACCEPT
    iptables -A INPUT -i eth0 -s 79.171.
    .10 -p udp --sport 4500 --dport 4500 -j ACCEPT
    iptables -A INPUT -s 79.171..10 -p esp -j ACCEPT
    iptables -A INPUT -s 192.168.2.0/24 -d 192.168.1.2 -m policy --dir in --pol ipsec --proto esp --mode tunnel --tunnel-src 79.171.
    .10 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -d 192.168.1.0/24 -m policy --dir in --pol ipsec --proto esp --mode tunnel --tunnel-src 79.171..10 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -m policy --dir out --pol ipsec --proto esp --mode tunnel --tunnel-dst 79.171.
    .10 -j ACCEPT

    iptables -A INPUT -i eth0 -s 109.195..144 -p udp --sport 500 --dport 500 -j ACCEPT
    iptables -A INPUT -i eth0 -s 109.195.
    .144 -p udp --sport 4500 --dport 4500 -j ACCEPT
    iptables -A INPUT -s 109.195..144 -p esp -j ACCEPT
    iptables -A INPUT -s 192.168.7.0/24 -d 192.168.1.2 -m policy --dir in --pol ipsec --proto esp --mode tunnel --tunnel-src 109.195.
    .144 -j ACCEPT
    iptables -A FORWARD -s 192.168.7.0/24 -d 192.168.1.0/24 -m policy --dir in --pol ipsec --proto esp --mode tunnel --tunnel-src 109.195..144 -j ACCEPT
    iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.7.0/24 -m policy --dir out --pol ipsec --proto esp --mode tunnel --tunnel-dst 109.195.
    .144 -j ACCEPT

    syslog

    Jul 20 16:58:56 gate racoon: ERROR: phase1 negotiation failed due to time up. 5fc1652adcda1775:3a429d607f27eec3
    Jul 20 16:59:34 gate kernel: [  105.128053] device eth0 entered promiscuous mode
    Jul 20 17:00:24 gate racoon: ERROR: phase1 negotiation failed due to time up. d33bc453fee06021:40613e8b464775f4
    Jul 20 17:00:41 gate kernel: [  171.859603] device eth0 left promiscuous mode
    Jul 20 17:01:46 gate racoon: [79.171..10] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 79.171..10[0]->213.79..162[0]
    Jul 20 17:01:46 gate racoon: [109.195.
    .144] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 109.195..144[0]->213.79..162[0]
    Jul 20 17:01:47 gate racoon: INFO: @(#)ipsec-tools 0.8.0 (http://ipsec-tools.sourceforge.net)
    Jul 20 17:01:47 gate racoon: INFO: @(#)This product linked OpenSSL 1.0.1f 6 Jan 2014 (http://www.openssl.org/)
    Jul 20 17:01:47 gate racoon: INFO: Reading configuration from "/etc/racoon/racoon.conf"
    Jul 20 17:02:46 gate racoon: [79.171..10] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 79.171..10[0]->213.79..162[0]
    Jul 20 17:02:46 gate racoon: [109.195.
    .144] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 109.195..144[0]->213.79..162[0]
    Jul 20 17:03:05 gate racoon: ERROR: phase1 negotiation failed due to time up. b8bd7b3615c17888:0000000000000000
    Jul 20 17:03:05 gate racoon: ERROR: phase1 negotiation failed due to time up. ed74af394e9229d5:0000000000000000
    Jul 20 17:03:27 gate kernel: [  338.020048] device eth0 entered promiscuous mode
    Jul 20 17:03:46 gate racoon: [79.171..10] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 79.171..10[0]->213.79..162[0]
    Jul 20 17:03:46 gate racoon: [109.195.
    .144] ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 109.195..144[0]->213.79..162[0]
    Jul 20 17:03:53 gate kernel: [  363.622724] device eth0 left promiscuous mode
    Jul 20 17:04:05 gate racoon: ERROR: phase1 negotiation failed due to time up. ed1512d4f081ad17:0000000000000000
    Jul 20 17:04:05 gate racoon: ERROR: phase1 negotiation failed due to time up. bc66850913b8d8bd:0000000000000000
    Jul 20 17:04:24 gate racoon: ERROR: phase1 negotiation failed due to time up. b55ee4ff08faf174:0b0b17b68a7fad47

    tcpdump -n -i eth0 port 500

    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
    17:30:34.381624 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident
    17:30:34.381800 IP 213.79..162.500 > 109.195..144.500: isakmp: phase 1 R ident
    17:30:34.403105 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident
    17:30:34.405778 IP 213.79..162.500 > 109.195..144.500: isakmp: phase 1 R ident
    17:30:34.425782 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident[E]
    17:30:36.152020 IP 213.79..162.500 > 79.171..10.500: isakmp: phase 1 ? ident
    17:30:36.156894 IP 79.171..10.500 > 213.79..162.500: isakmp: phase 1 ? ident[E]
    17:30:36.157071 IP 79.171..10.500 > 213.79..162.500: isakmp: phase 1 ? ident[E]
    17:30:44.414091 IP 213.79..162.500 > 109.195..144.500: isakmp: phase 1 R ident
    17:30:44.431024 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident[E]
    17:30:44.431374 IP 109.195..144.500 > 213.79..162.500: isakmp: phase 1 I ident[E]

    Настройки, одного из подключений, в сенсе были следующие

    Как понимаю не проходит аутентификация. Как быть? вроде указал все настпройки



  • получилась странная ситуация…
    remote 109.195..144 поднялся в обеих фазах, а remote 79.171..10 не проходит даже первую... причём между собой они имеют устойчивое соединение, а вот со мной только первый соединился... Настройки все уже перелопачены не раз, где может быть косяк даже не знаю...
    Кстати 109.195..144 и 79.171..10 это два pfsens шлюза...

    Единственное, что 109.195.*.144 пишет в логи...
    racoon: WARNING: PF_KEY EXPIRE message received from kernel for SA being negotiated. Stopping negotiation.

    У 79.171.*.10 всё по старому
    racoon: ERROR: phase1 negotiation failed due to time up. 6b963bbcbf0458c4:36fce3f6321c097d



  • Лог со стороны pfsens, к которому не выходит подключится

    Jul 22 16:58:05 racoon: [CentOffise]: [213.79..162] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 213.79..162[0]->79.171..10[0]
    Jul 22 16:58:05 racoon: INFO: delete phase 2 handler.
    Jul 22 16:58:09 racoon: [CentOffise]: INFO: IPsec-SA request for 213.79
    .162 queued due to no phase1 found.
    Jul 22 16:58:09 racoon: [CentOffise]: INFO: initiate new phase 1 negotiation: 79.171..10[500]<=>213.79..162[500]
    Jul 22 16:58:09 racoon: INFO: begin Identity Protection mode.
    Jul 22 16:58:09 racoon: INFO: received Vendor ID: RFC 3947
    Jul 22 16:58:09 racoon: INFO: received Vendor ID: DPD
    Jul 22 16:58:09 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
    Jul 22 16:58:09 racoon: [CentOffise]: [213.79..162] INFO: Selected NAT-T version: RFC 3947
    Jul 22 16:58:09 racoon: [CentOffise]: [213.79.
    .162] INFO: Hashing 213.79..162[500] with algo #1
    Jul 22 16:58:09 racoon: [Self]: [79.171.
    .10] INFO: Hashing 79.171..10[500] with algo #1
    Jul 22 16:58:09 racoon: INFO: Adding remote and local NAT-D payloads.
    Jul 22 16:58:09 racoon: [Self]: [79.171.
    .10] INFO: Hashing 79.171..10[500] with algo #1
    Jul 22 16:58:09 racoon: INFO: NAT-D payload #0 verified
    Jul 22 16:58:09 racoon: [CentOffise]: [213.79.
    .162] INFO: Hashing 213.79..162[500] with algo #1
    Jul 22 16:58:09 racoon: INFO: NAT-D payload #1 verified
    Jul 22 16:58:09 racoon: INFO: NAT not detected
    Jul 22 16:58:13 racoon: NOTIFY: the packet is retransmitted by 213.79.
    .162[500] (1).
    Jul 22 16:58:29 racoon: NOTIFY: the packet is retransmitted by 213.79..162[500] (1).
    Jul 22 16:58:40 racoon: [CentOffise]: [213.79.
    .162] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 213.79..162[0]->79.171..10[0]
    Jul 22 16:58:40 racoon: INFO: delete phase 2 handler.
    Jul 22 16:58:49 racoon: NOTIFY: the packet is retransmitted by 213.79..162[500] (1).
    Jul 22 16:58:51 racoon: [CentOffise]: [213.79.
    .162] INFO: request for establishing IPsec-SA was queued due to no phase1 found.
    Jul 22 16:58:59 racoon: ERROR: phase1 negotiation failed due to time up. 7dac4b78b10d5959:b872d62e36cb2b98



  • racoon: [CentOffise]: INFO: IPsec-SA request for 213.79*.162 queued due to no phase1 found.
    Это по-моему говорит о проблеме в настройках Phase 1



  • dvserg Вроде верные.

    со стороны ubuntu
    /etc/racoon/racoon.conf

    log notify;  # уровень логирования
    path pre_shared_key "/etc/racoon/psk.txt";
    path certificate "/etc/racoon/certs";

    padding {
            maximum_length 20;      # максимальная длинна набивки (?).
            randomize off;          # включение случайной длинны.
            strict_check off;      # включить строгую проверку.
            exclusive_tail off;    # извлекать один последний октет.
    }

    listen {
            isakmp 213.79..162[500]; # установка прослушивания даемона ip[port]
            isakmp_natt 213.79.
    .162[4500]; # установка прослушивания используя NAT-T
            strict_address;
    }

    timer{
            counter 5;# maximum trying count to send.
            interval 20 sec;# maximum interval to resend.
            persend 1;# the number of packets per a send.
            phase1 60 sec;
            phase2 60 sec;
    }
    remote 79.171..10[500] { # IP нашего пира
            my_identifier address 213.79.
    .162;
            peers_identifier address 79.171.*.10;
            exchange_mode main, aggressive; # режим обмена
            lifetime time 8 hour; # время жизни первой фазы
            proposal { # секция определения предложений
                    encryption_algorithm aes256; # алгоритм криптования
                    hash_algorithm md5; # алгоритм хеширования
                    authentication_method pre_shared_key; #метод аутентификации
                    dh_group 2; # группа Диффи-Хеллмана
    }
            generate_policy on;
            #nat_traversal (on | off | force); # пример использования nat-traversal
            nat_traversal on; # отключаем nat-traversal
            ike_frag on; # фрагментация ike, используется для NAT-T
            #esp_frag 552; # фрагментация esp пакета, используется для NAT-T
            initial_contact on;
            dpd_delay 10;
            dpd_retry 5;

    }

    со стороны pfsense 79.171.*.10 в аттаче,




  • Решить проблему с подключение IPSec так и не смог.
    Пошёл иным путём:
    Создал GRE туннели на обоих шлюзах и прописал для них маршрутизацию.
    Вопрос закрыт.