Странное поведение IPsec?
-
Доброго вечера. Никак не могу разобраться в сие причине. Может кто сталкивался.
Есть две разделенные площадки. Площадка А(имеет статический IP) и площадка В(ddns). И там и там pfSense 2.1.5.
Площадка А - настроен IPsec для мобильных клиентов. Все работает.
Площадка В LAN->pfSense->WAN->Zyxel(USB LTE)(Dinamic IP и здесь же ddns). Получается каскадный NAT. На Zyxel'e проброшены ike(500/udp) на WAN pfSens'a.
За pfSens'om B можно подключаться к площадке А в режиме mobile clients. Но как только настраиваю site to site между A и В, не могу подключится через клиента, именно из этой же сети. Из другой все работает(имеется ввиду другой маршрутизируемый в инете ip).
Порты открыты, esp открыты. Настройки везде одинаковые.
Если отключаю site to site - mobile clients работает.
Логи площадки A при включенном тоннеле и попытке подключения mobile client'om:
Jan 23 17:09:08 racoon: [To]: [B.B.B.B] ERROR: phase1 negotiation failed.
Jan 23 17:09:08 racoon: [To]: [B.B.B.B] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
Jan 23 17:09:08 racoon: [To]: [B.B.B.B] ERROR: failed to get valid proposal.
Jan 23 17:09:08 racoon: ERROR: no suitable proposal found.
Jan 23 17:09:08 racoon: [To]: [B.B.B.B] INFO: Selected NAT-T version: RFC 3947
Jan 23 17:09:08 racoon: INFO: received Vendor ID: CISCO-UNITY
Jan 23 17:09:08 racoon: INFO: received Vendor ID: DPD
Jan 23 17:09:08 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Jan 23 17:09:08 racoon: INFO: received Vendor ID: RFC 3947
Jan 23 17:09:08 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
Jan 23 17:09:08 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Jan 23 17:09:08 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-01
Jan 23 17:09:08 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-00
Jan 23 17:09:08 racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Jan 23 17:09:08 racoon: INFO: begin Aggressive mode.
Jan 23 17:09:08 racoon: [To]: INFO: respond new phase 1 negotiation: A.A.A.A[500]<=>B.B.B.B[62012] -
Т.е вы пытатесь подключаться и мобильным клиентом и вдобавок туннель поднимать?
-
Именно. Если это невозможно технически. Ткните почему)
-
https://doc.pfsense.org/index.php/VPN_Capability_IPsec - тут вроде ничего не сказано.
http://serverfault.com/questions/646576/pfsense-ipsec-vpn-client
n some cases there is a different firewall or router sitting between pfSense and the Internet. If this is the case, then it is necessary to add a port forward for ESP and UDP 500 to pfSense. The outside router must be able to properly handle NAT of this traffic, and some do not. A modem's "DMZ" mode may also help here. In this case, NAT Traversal should also be enabled on Phase 1.
Попробуйте адрес pf добавить в DMZ на Zyxel.
-
DMZ его не спасет, так как тут не нужно пропускать через него "нестандартные" протоколы типа GRE, а тот же IPsec заворачивается в udp/4500 с помощью natt, поэтому он в любом случае будет маршрутизироваться. Тут что то другое. Вопрос что?
-
DMZ его не спасет, так как тут не нужно пропускать через него "нестандартные" протоколы типа GRE, а тот же IPsec заворачивается в udp/4500 с помощью natt, поэтому он в любом случае будет маршрутизироваться. Тут что то другое. Вопрос что?
??? ESP
http://ru.wikipedia.org/wiki/IPsec
IPsec является набором стандартов Интернет и своего рода «надстройкой» над IP-протоколом. Его ядро составляют три протокола [3]:
Authentication Header (АН) обеспечивает целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и функцию по предотвращению повторной передачи пакетовEncapsulating Security Payload (ESP) обеспечивает конфиденциальность (шифрование) передаваемой информации, ограничение потока конфиденциального трафика. Кроме этого, он может исполнять функции AH: обеспечить целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов. При применении ESP в обязательном порядке должен указываться набор услуг по обеспечению безопасности: каждая из его функций может включаться опционально.
Internet Security Association and Key Management Protocol (ISAKMP) — протокол, используемый для первичной настройки соединения, взаимной аутентификации конечными узлами друг друга и обмена секретными ключами. Протокол предусматривает использование различных механизмов обмена ключами, включая задание фиксированных ключей, использование таких протоколов, как Internet Key Exchange, Kerberized Internet Negotiation of Keys (RFC 4430) или записей DNS типа IPSECKEY (RFC 4025).
Jan 23 17:09:08 racoon: [To]: [B.B.B.B] ERROR: phase1 negotiation failed.
Jan 23 17:09:08 racoon: [To]: [B.B.B.B] ERROR: failed to pre-process ph1 packet [Check Phase 1 settings, lifetime, algorithm] (side: 1, status 1).
Jan 23 17:09:08 racoon: [To]: [B.B.B.B] ERROR: failed to get valid proposal.
Jan 23 17:09:08 racoon: ERROR: no suitable proposal found.Возможно, неправильные настройки клиента. Смените клиента \ проверьте на др. платформе.
Но как только настраиваю site to site между A и В, не могу подключится через клиента, именно из этой же сети
Непонятно. Вы подключаетесь через уже установленный туннель ?
Рисуйте схему.
P.s. Или перейдите на 2.2 Final - https://blog.pfsense.org/?p=1546
Там racoon на strongswan сменили. -
DMZ его не спасет, так как тут не нужно пропускать через него "нестандартные" протоколы типа GRE, а тот же IPsec заворачивается в udp/4500 с помощью natt, поэтому он в любом случае будет маршрутизироваться. Тут что то другое. Вопрос что?
??? ESP
http://ru.wikipedia.org/wiki/IPsec
Почему не нужен DMZ https://en.wikipedia.org/wiki/NAT_traversal
Вопрос решен. Все потому что весь трафик форвардится на вышестоящей железке на pfSense.
https://forum.pfsense.org/index.php?topic=87227.0#msg478918
