IPSEC+Virtual IP
-
Господа, доброго всем времени суток!
Долго бьюсь с данным вопросом, и перелопатил немало тем на этом и других форумах, а так же документации.
В виду того что вошел в окончательный ступор, прошу помощи знатоков. Заранее прошу прощения за то что не могу приложить схему.И так есть провайдер SIP телефонии, который дает SIP через IPSEC.
Так же есть сервер на pfsense с внешним IP и интерфейсом с видом на локалку. Адресация ниже.
Локальный адрес сервера 192.168.0.6 внешний адрес (как пример) 95.5.5.10.
Мною был поднят после долгих мучений сам тунель IPSEC. только после того как я добавил Virtual IP "172.30.1.108".
Сервер с астериском на 192.168.0.16Проблема для меня заключается в том, что подсеть для клиента дается вида 172.30.1.108 и SIP GW IP для телефонии 172.30.1.110/
Удаленный шлюз SIP 200.28.66.46 (тоже как наглядный пример) к которому нужно подключаться.
Я пробовал разные варианты правил NAT и firewall, но думаю, что в данной теме лучше с чистого листа подходить.
У меня получалось пинговать удаленный шлюз (200.28.66.46) только pfsense через source addres Virtual IP 172.30.1.108Подскажите, плиз, что необходимо сделать и чем!?
-
Доброе время суток.
Мною был поднят после долгих мучений сам тунель IPSEC. только после того как я добавил Virtual IP "172.30.1.108".
На WAN ? На LAN ? Какого типа этот адрес ? Их там аж 4 вроде.
У меня получалось пинговать удаленный шлюз (200.28.66.46) только pfsense через source addres Virtual IP 172.30.1.108
А почему он просто через WAN не пингуется ?
Заранее прошу прощения за то что не могу приложить схему.
Не стесняйтесь - прикладывайте. А также скрины ВСЕХ (!) сделанных Вами настроек - интерфейсы, ipsec, правил fw, NAT.
-
На WAN ? На LAN ? Какого типа этот адрес ? Их там аж 4 вроде.
Виртуальный на LAN сделал
А почему он просто через WAN не пингуется ?
Ну через WAN не пингуется, судя по всему, потому что может только через IPSEC тунель :)
Не стесняйтесь - прикладывайте. А также скрины ВСЕХ (!) сделанных Вами настроек - интерфейсы, ipsec, правил fw, NAT.
Прикладываю. Все наты,правила файрвола и прочее, то что ковырял,я поубирал, чтобы рисовать с чистого листа и не путаться.
Еще как отступление к карте на текстовке полученной от провайдера написано что "Адрес из нашей сети 172.30.х.х\30" клиент может получить как Alias IP для внутреннего интерфейса. Распределение пдресов:1й- для файрвол, 2й-для IPPBX." -На сколько я понимаю то один под шлюз второй должен так же прописываться алиасом на машине где стоит Астериск!?P.S
Решил не заморачиватсья сильно со сменой IP. Поэтому прикрыл только WAN.
212.58.166.44/30 -шифрованая сеть "провайдера"- в моем случае это "Астелит" - Лайф
-
Я возможно не совсем правильно прорисовал на схеме туннель.
Так как туннель строится между WAN и шлюзом оператора 212.58.166.42 и уже после построения с виртуального IP я могу пинговать нужный мне сервер телефонии 212.58.166.46
Но думаю так тоже достаточно понятно будет.
И еще, с локальной компьютера у которых шлюзом стоит LAN (6) пингуется 172.30.128.188.
Я так представлял себе что мне либо необходимо 1)пробрасывать с локальной сети через этот виртуальный IP и обратно, либо нужно сделать алиас на сервер IPPBX на локальном интерфейсе типа 172.30.128.190 и как то запихнуть этот трафик через туннель IPSEC в направлении 212.58.166.46. -
Честно ? Каша какая-то :(
Непонятно, зачем менять адресацию в своей сети ради подключения к SIP ? Во второй фазе ipsec указываете в Локал - свою подсеть, а Ремоте - 200.28.66.46. Это позволит "ходить" из вашей локальной сети к 200.28.66.46 через ИпСек-туннель.
Может есть скрин бумаги, что выдал вам сип-провайдер? Или ссылка на их сайт с инс-цией по подключению?
-
Честно ? Каша какая-то :(
Непонятно, зачем менять адресацию в своей сети ради подключения к SIP ? Во второй фазе ipsec указываете в Локал - свою подсеть, а Ремоте - 200.28.66.46. Это позволит "ходить" из вашей локальной сети к 200.28.66.46 через ИпСек-туннель.
Может есть скрин бумаги, что выдал вам сип-провайдер? Или ссылка на их сайт с инс-цией по подключению?
Провайдер ни в зуб ногой. Возможности общения 0. Связь только с подсети и адресов сети зарезервированых оператором.
Вот и у меня такая же каша в голове. Я бы с удовольствием вместо сети провайдера указал свою подсеть, но они так не делают!
Вот атач скрина с их картинкой, кстати.
И кстати, я пробовал ставить локалку во 2 фазе, но ipsec не создавал туннель.
-
А прямо с вашей IP-PBX можно ли построить туннель до SIP-провайдера ? Предварительно присвоив ее сетевой второй адрес (virtual ip) из 172.30.xxx.xxx ?
На какой ОСи крутится ваша IP-PBX ?
-
А прямо с вашей IP-PBX можно ли построить туннель до SIP-провайдера ? Предварительно присвоив ее сетевой второй адрес (virtual ip) из 172.30.xxx.xxx ?
На какой ОСи крутится ваша IP-PBX ?
Прямо не хотелось бы высовывать IPPBX задницей в мир, а ipsec провайдер не дает за натом поднимать.
У меня крутится asterisk+freepbx родная сборка фрипбикса. Если не ошибаюсь то они на RedHat Или Centos 6.5
Поднять алиас так же пробовал, но у меня не получается загнать этот трафик с этой подсети через IPSEC.
Делаю на pssense еще один алиас и чрезе него пинг идет. Через локалку нет. С другого алиаса пингуется 172.30.128.188, но дальше судя по всему ничего не проходит. -
А может sip-провайдера легче сменить ? Неужто у него прямо такие сверхвкусные тарифы ?
Какой-то он проблемный, честное слово. Первый раз такого вижу. -
А может sip-провайдера легче сменить ? Неужто у него прямо такие сверхвкусные тарифы ?
Какой-то он проблемный, честное слово. Первый раз такого вижу.К сожалению не проще. Меня интересуют его тарифы для звонков на сотовых операторов.
И как то после настроек других сип операторов и своих впн каналов чувствую себя полным идиотом.
По идее все должно быть просто, но что то у меня ничего не получается.
Мне как то нужно заткнуть трафик из подсети алиасов 172.30.128.Х в этот транк на сенсе. Тем более что 188 адрес пингуется с алиасов.
Странно вообще как то все. Вот надеялся, что народ подсобит идеями или кто встречался с такого рода извращениями. -
Покажите таблицу маршрутизации на pfsense при поднятом IPSec.
У вас нет разрешающего правила fw на LAN для 172.30.128.Х.
Скрин настроек Virtual IP на pfsense можно ?
P.s. А если все же создать этот вирт. IP на WAN pfsense , предварительно отключив блокирование серых сетей на WAN, и принудительно NAT-ить на этот вирт. адрес все что идет в Ipsec на адрес сип-сервера ?
-
Покажите таблицу маршрутизации на pfsense при поднятом IPSec.
У вас нет разрешающего правила fw на LAN для 172.30.128.Х.
Скрин настроек Virtual IP на pfsense можно ?
P.s. А если все же создать этот вирт. IP на WAN pfsense , предварительно отключив блокирование серых сетей на WAN, и принудительно NAT-ить на этот вирт. адрес все что идет в Ipsec на адрес сип-сервера ?
Правил, как я уже писал сейчас никаких нет. Убрал чтобы добавлять можно было по новой.
Вот на счет вирт.ip на wan не сильно понял. прицепить в принципе не проблема его, но что это даст?
-
IPSec висит на WAN ? Так ведь ? Какой адрес получают пакеты от 172.30.128.Х. на выходе из IPsec по пути к 212.58.166.46?
Или по-другому - с каким адресом они приходят к 212.58.166.46 ? -
IPSec висит на WAN ? Так ведь ? Какой адрес получают пакеты от 172.30.128.Х. на выходе из IPsec по пути к 212.58.166.46?
Или по-другому - с каким адресом они приходят к 212.58.166.46 ?IPSEC само собой через Wan строился
Ну в Packet Capture при пинговке дает:
172.30.128.188 > 212.58.166.46: ICMP echo request, id 60804, seq 1, length 64
10:09:24.049405 (authentic,confidential): SPI 0x032b6d63: (tos 0x0, ttl 255, id 48278, offset 0, flags [none], proto ICMP (1), length 84)Если не то, то через что и что конкретно нужно сделать для получения запрашиваемой информации.
-
Может совет ув. rubic поможет в решении ?
https://forum.pfsense.org/index.php?topic=91883.msg508935#msg508935
… Удаляйте все static и policy routes, напрвляющие трафик в GRE, если таковые есть. Создавайте новую phase 2 в IPSec для подсети клиентов OpenVPN (Local Network) и там же в "In case you need NAT/BINAT on this network specify the address to be translated" делайте ей NAT в 192.168.1.254.
-
Может совет ув. rubic поможет в решении ?
https://forum.pfsense.org/index.php?topic=91883.msg508935#msg508935
… Удаляйте все static и policy routes, напрвляющие трафик в GRE, если таковые есть. Создавайте новую phase 2 в IPSec для подсети клиентов OpenVPN (Local Network) и там же в "In case you need NAT/BINAT on this network specify the address to be translated" делайте ей NAT в 192.168.1.254.
Я читал эту тему, но там две сети соеденины между собой по GRE
Я бы и рад создать новую фазу2, но к сожалению я могу менять параметры только на одной стороне и если что то прописываю не так, то не поднимется туннель. -
Голова что то уже совсем перестает варить.
Как заставить идущий трафик на сеть 212.58.166. из подсети 192.168.0.0 идти через 77.30.128.188?
У меня получается, что на компах где гейт по умолчанию 192.168.0.6 пинг моего виртуального идет.
Если сделать алиас на другом пк 172.30.128.190 то никто уже никуда не идет… -
Кажется получилось :)
Завтра отпишусь по результату
