IPSEC+Virtual IP



  • Господа, доброго всем времени суток!

    Долго бьюсь с данным вопросом, и перелопатил немало тем на этом и других форумах, а так же документации.
    В виду того что вошел в окончательный ступор, прошу помощи знатоков. Заранее прошу прощения за то что не могу приложить схему.

    И так есть провайдер SIP телефонии, который дает SIP через IPSEC.
    Так же есть сервер на pfsense с внешним IP и интерфейсом с видом на локалку. Адресация ниже.
    Локальный адрес сервера 192.168.0.6 внешний адрес (как пример) 95.5.5.10.
    Мною был поднят после долгих мучений сам тунель IPSEC. только после того как я добавил Virtual IP "172.30.1.108".
    Сервер с астериском на 192.168.0.16

    Проблема для меня заключается в том, что подсеть для клиента дается вида 172.30.1.108 и SIP GW IP для телефонии 172.30.1.110/

    Удаленный шлюз SIP 200.28.66.46 (тоже как наглядный пример) к которому нужно подключаться.

    Я пробовал разные варианты правил NAT и firewall, но думаю, что в данной теме лучше с чистого листа подходить.
    У меня получалось пинговать удаленный шлюз (200.28.66.46) только pfsense через source addres Virtual IP 172.30.1.108

    Подскажите, плиз, что необходимо сделать и чем!?



  • Доброе время суток.

    Мною был поднят после долгих мучений сам тунель IPSEC. только после того как я добавил Virtual IP "172.30.1.108".

    На WAN ? На LAN ? Какого типа этот адрес ? Их там аж 4 вроде.

    У меня получалось пинговать удаленный шлюз (200.28.66.46) только pfsense через source addres Virtual IP 172.30.1.108

    А почему он просто через WAN не пингуется ?

    Заранее прошу прощения за то что не могу приложить схему.

    Не стесняйтесь - прикладывайте. А также скрины ВСЕХ (!) сделанных Вами настроек - интерфейсы, ipsec, правил fw, NAT.



  • На WAN ? На LAN ? Какого типа этот адрес ? Их там аж 4 вроде.

    Виртуальный на LAN  сделал

    А почему он просто через WAN не пингуется ?

    Ну через WAN не пингуется, судя по всему, потому что может только через IPSEC тунель :)

    Не стесняйтесь - прикладывайте. А также скрины ВСЕХ (!) сделанных Вами настроек - интерфейсы, ipsec, правил fw, NAT.

    Прикладываю. Все наты,правила файрвола и прочее, то что ковырял,я поубирал, чтобы рисовать с чистого листа и не путаться.
    Еще как отступление к карте на текстовке полученной от провайдера написано что "Адрес из нашей сети 172.30.х.х\30" клиент может получить как Alias IP  для внутреннего интерфейса. Распределение пдресов:1й- для файрвол, 2й-для IPPBX." -На сколько я понимаю то один под шлюз второй должен так же прописываться алиасом на машине где стоит Астериск!?

    P.S
    Решил не заморачиватсья сильно со сменой IP. Поэтому прикрыл только WAN.
    212.58.166.44/30 -шифрованая сеть "провайдера"- в моем случае это "Астелит" - Лайф

    ![IPSEC STATUS 1.jpg](/public/imported_attachments/1/IPSEC STATUS 1.jpg)
    ![IPSEC STATUS 1.jpg_thumb](/public/imported_attachments/1/IPSEC STATUS 1.jpg_thumb)
    ![IPSEC phase2.png](/public/imported_attachments/1/IPSEC phase2.png)
    ![IPSEC phase2.png_thumb](/public/imported_attachments/1/IPSEC phase2.png_thumb)











  • Я возможно не совсем правильно прорисовал на схеме туннель.
    Так как туннель строится между WAN и шлюзом оператора 212.58.166.42 и уже после построения с виртуального IP я могу пинговать нужный мне сервер телефонии 212.58.166.46
    Но думаю так тоже достаточно понятно будет.
    И еще, с локальной компьютера у которых шлюзом стоит LAN (6) пингуется 172.30.128.188.
    Я так представлял себе что мне либо необходимо 1)пробрасывать  с локальной сети через этот виртуальный IP и обратно, либо нужно сделать алиас на сервер IPPBX на локальном интерфейсе  типа 172.30.128.190 и как то запихнуть этот трафик через туннель IPSEC в направлении 212.58.166.46.



  • Честно ? Каша какая-то  :(

    Непонятно, зачем менять адресацию в своей сети ради подключения к SIP ? Во второй фазе ipsec указываете в Локал - свою подсеть, а Ремоте - 200.28.66.46. Это позволит "ходить" из вашей локальной сети к 200.28.66.46 через ИпСек-туннель.

    Может есть скрин бумаги, что выдал вам сип-провайдер? Или ссылка на их сайт с инс-цией по подключению?



  • @werter:

    Честно ? Каша какая-то  :(

    Непонятно, зачем менять адресацию в своей сети ради подключения к SIP ? Во второй фазе ipsec указываете в Локал - свою подсеть, а Ремоте - 200.28.66.46. Это позволит "ходить" из вашей локальной сети к 200.28.66.46 через ИпСек-туннель.

    Может есть скрин бумаги, что выдал вам сип-провайдер? Или ссылка на их сайт с инс-цией по подключению?

    Провайдер ни в зуб ногой. Возможности общения 0. Связь только с подсети и адресов сети зарезервированых оператором.
    Вот и у меня такая же каша в голове. Я бы с удовольствием вместо сети провайдера указал свою подсеть, но они так не делают!
    Вот атач скрина с их картинкой, кстати.
    И кстати, я пробовал ставить локалку во 2 фазе, но ipsec не создавал туннель.




  • А прямо с вашей IP-PBX можно ли построить туннель до SIP-провайдера ? Предварительно присвоив ее сетевой второй адрес (virtual ip) из 172.30.xxx.xxx ?

    На какой ОСи крутится ваша IP-PBX ?



  • @werter:

    А прямо с вашей IP-PBX можно ли построить туннель до SIP-провайдера ? Предварительно присвоив ее сетевой второй адрес (virtual ip) из 172.30.xxx.xxx ?

    На какой ОСи крутится ваша IP-PBX ?

    Прямо не хотелось бы высовывать IPPBX задницей в мир, а ipsec провайдер не дает за натом поднимать.

    У меня крутится asterisk+freepbx родная сборка фрипбикса. Если не ошибаюсь то они на RedHat Или Centos 6.5

    Поднять алиас так же пробовал, но у меня не получается загнать этот трафик с этой подсети через IPSEC.
    Делаю на pssense еще один алиас и чрезе него пинг идет. Через локалку нет. С другого алиаса пингуется 172.30.128.188, но дальше судя по всему ничего не проходит.



  • А может sip-провайдера легче сменить ? Неужто у него прямо такие сверхвкусные тарифы ?
    Какой-то он проблемный, честное слово. Первый раз такого вижу.



  • @werter:

    А может sip-провайдера легче сменить ? Неужто у него прямо такие сверхвкусные тарифы ?
    Какой-то он проблемный, честное слово. Первый раз такого вижу.

    К сожалению не проще. Меня интересуют его тарифы для звонков на сотовых операторов.
    И как то после настроек других сип операторов и своих впн каналов чувствую себя полным идиотом.
    По идее все должно быть просто, но что то у меня ничего не получается.
    Мне как то нужно заткнуть трафик из подсети алиасов 172.30.128.Х в этот транк на сенсе. Тем более что 188 адрес пингуется с алиасов.
    Странно вообще как то все. Вот надеялся, что народ подсобит идеями или кто встречался с такого рода извращениями.



  • Покажите таблицу маршрутизации на pfsense при поднятом IPSec.

    У вас нет разрешающего правила fw на LAN для 172.30.128.Х.

    Скрин настроек Virtual IP на pfsense можно ?

    P.s. А если все же создать этот вирт. IP на WAN pfsense , предварительно отключив блокирование серых сетей на WAN, и принудительно NAT-ить на этот вирт. адрес все что идет в Ipsec на адрес сип-сервера ?



  • @werter:

    Покажите таблицу маршрутизации на pfsense при поднятом IPSec.

    У вас нет разрешающего правила fw на LAN для 172.30.128.Х.

    Скрин настроек Virtual IP на pfsense можно ?

    P.s. А если все же создать этот вирт. IP на WAN pfsense , предварительно отключив блокирование серых сетей на WAN, и принудительно NAT-ить на этот вирт. адрес все что идет в Ipsec на адрес сип-сервера ?

    Правил, как я уже писал сейчас никаких нет. Убрал чтобы добавлять можно было по новой.
    Вот на счет вирт.ip на wan не сильно понял. прицепить в принципе не проблема его, но что это даст?








  • IPSec висит на WAN ? Так ведь ? Какой адрес получают пакеты от 172.30.128.Х. на выходе из IPsec по пути к 212.58.166.46?
    Или по-другому - с каким адресом они приходят к 212.58.166.46 ?



  • @werter:

    IPSec висит на WAN ? Так ведь ? Какой адрес получают пакеты от 172.30.128.Х. на выходе из IPsec по пути к 212.58.166.46?
    Или по-другому - с каким адресом они приходят к 212.58.166.46 ?

    IPSEC само собой через Wan строился

    Ну в Packet Capture при пинговке дает:
    172.30.128.188 > 212.58.166.46: ICMP echo request, id 60804, seq 1, length 64
    10:09:24.049405 (authentic,confidential): SPI 0x032b6d63: (tos 0x0, ttl 255, id 48278, offset 0, flags [none], proto ICMP (1), length 84)

    Если не то, то через что и что конкретно нужно сделать для получения запрашиваемой информации.



  • Может совет ув. rubic поможет в решении ?

    https://forum.pfsense.org/index.php?topic=91883.msg508935#msg508935

    … Удаляйте все static и policy routes, напрвляющие трафик в GRE, если таковые есть. Создавайте новую phase 2 в IPSec для подсети клиентов OpenVPN (Local Network) и там же в "In case you need NAT/BINAT on this network specify the address to be translated" делайте ей NAT в 192.168.1.254.



  • @werter:

    Может совет ув. rubic поможет в решении ?

    https://forum.pfsense.org/index.php?topic=91883.msg508935#msg508935

    … Удаляйте все static и policy routes, напрвляющие трафик в GRE, если таковые есть. Создавайте новую phase 2 в IPSec для подсети клиентов OpenVPN (Local Network) и там же в "In case you need NAT/BINAT on this network specify the address to be translated" делайте ей NAT в 192.168.1.254.

    Я читал эту тему, но там две сети соеденины между собой по GRE
    Я бы и рад создать новую фазу2, но к сожалению я могу менять параметры только на одной стороне и если что то прописываю не так, то не поднимется туннель.



  • Голова что то уже совсем перестает варить.
    Как заставить идущий трафик на сеть 212.58.166. из подсети 192.168.0.0 идти через 77.30.128.188?
    У меня получается, что на компах где гейт по умолчанию 192.168.0.6 пинг моего виртуального идет.
    Если сделать алиас на другом пк 172.30.128.190 то никто уже никуда не идет…



  • Кажется получилось :)
    Завтра отпишусь по результату


Log in to reply