[Решено] VPN (l2tp+ipsec)



  • Помогите разобраться с VPN.
    Офис:
    Шлюз - 192.168.1.1 (pfsence)
    А.1 Сеть 192.168.1.0/24 (компьютеры и принтеры)
    А.2 Сеть 192.168.10.0/24 (все прочее)

    Хочу добиться:
    1. Мобильные клиенты (телефоны, компьютеры на windows) Категории М1:
    должны подключаться через VPN к ОФису
    должны видеть все сети и все хосты в сетях
    2. Мобильные клиенты (телефоны) Категории М2:
    должны подключаться через VPN к Офису
    должны видеть все хосты в сети А.2
    3. Мобильные клиенты (телефоны) Категории М3:
    должны подключаться через VPN к ОФису
    должны видеть только хост 192.168.10.2
    4. Мобильные клиенты (компьютеры) Категории М4
    должны подключиться через VPN к ОФису
    должны видеть только хост 192.168.1.2

    Получилось все сделать на PPTP, но он слабо защищенный (если ошибаюсь, то подскажите как настроить правильно)
    Через IPSEC(без L2TP) получилось подключиться к Офису (вижу сеть А.1 и все хосты, не вижи сеть А.2)
    Через IPSEC подключаюсь с iOS и Android, а с windows только через Screw VPN Client

    Очень хочется защищенный VPN. И если IPSEC, то стандартным клиентом windows
    Не нашел как реализовать IPSEC через L2TP для клиентов

    Как все заработает, хочу подключить удаленный офис с сетью 192.168.0.0/24 (pfsence<–->pfsence) 192.168.1.0/24. Это получилось,
    но переживаю, как все заработает с такой конфой в головном офисе.

    Заранее спасибо!



  • Как все заработает, хочу подключить удаленный офис с сетью 192.168.0.0/24 (pfsence<–->pfsence) 192.168.1.0/24. Это получилось,
    но переживаю, как все заработает с такой конфой в головном офисе.

    IPSec, OpenVPN etc.

    Хочу добиться:
      1. Мобильные клиенты (телефоны, компьютеры на windows) Категории М1:
          должны подключаться через VPN к ОФису
          должны видеть все сети и все хосты в сетях
      2. Мобильные клиенты (телефоны) Категории М2:
          должны подключаться через VPN к Офису
          должны видеть все хосты в сети А.2
      3. Мобильные клиенты (телефоны) Категории М3:
          должны подключаться через VPN к ОФису
          должны видеть только хост 192.168.10.2
      4. Мобильные клиенты (компьютеры) Категории М4
          должны подключиться через VPN к ОФису
          должны видеть только хост 192.168.1.2

    При подключение по PPTP\L2TP выдавать статические ip, а далее - правилами fw.



  • Уважаемый werter, спасибо за ответ!

    IPSec, OpenVPN etc.

    Возможно я не смог объяснить. Я спрашивал, будет ли нормально работать l2tp+ipsec (clietn to site) если у меня будет настроен ipsec (site to site)?

    При подключение по PPTP\L2TP выдавать статические ip, а далее - правилами fw.

    C ipsec (без l2tp) разобрался. Раньше клиент ipsec видел сеть 192.168.1.0 и не видел 192.168.10.0.
    В настройках 2-й фазы мобильного клиента указал Local Network 192.168.0.0/16
    Мне кажется это не красиво и не правильно, но работает без проблем.
    Если есть другой вариант добиться подобного, буду признателен.

    И я так и не смог настроить ipsec over l2tp. В книгах по pfsense нет инструкции. В сети тоже ничего на эту
    тему не нашел. Помоги пожалуйста. Требуется именно ipsec over l2tp, так-как можно использовать родной клиент Windows.
    На железных шлюзах получается без проблем.

    Спасибо!



  • Не работает оно в 2.1.x. Будет только в 2.2
    https://forum.pfsense.org/index.php?topic=83321.0



  • @rubic:

    Не работает оно в 2.1.x. Будет только в 2.2
    https://forum.pfsense.org/index.php?topic=83321.0

    Спасибо. А то я голову сломал.

    А это для 2.2?

    • Create mobile IPsec P1 as usual, but use Mutual PSK, no xauth – MAIN mode, not aggressive, disable mobile options for IP assignment and network supply

    • Add P2 for transport mode, aes 128+sha1, etc.

    • On Pre-Shared Keys tab, add "allusers" PSK with the desired secret.

    • Setup L2TP, add L2TP users

    • Setup client, server IP = WAN IP, account = L2TP user, password =
      L2TP password, Secret = IPsec allusers PSK

    • Add a system tunable net.inet.ipsec.filtertunnel=1 (this may not be required any longer)

    • Put the rules on the WAN interface and the IPsec tab (ditto, may not be required now, might just be IPsec tab)

    Если да, то вопрос. Будет ли работать ipsec (site-site) и ipsec (site-client) на одной машине?
    И правильно ли я решил проблему с видимостью сетей?



  • Получается что 2.1.5 не может сделать ipsec over l2tp.

    А вот со второй сеткой разобрался. Мне так никто и не подсказал, и если интересно, то:

    Чтобы клиент VPN видел более одной сети надо добавлять записи 2 фазы. Для каждой сети запись получается.
    Все настройки одинаковые, только в поле Local Network прописываем желаемую сеть.

    Еще раз спасибо.