Подключение Windows client к pfsense по схеме Site-to-Site
-
Я прошу прощения за скудность языка, у нас возникла следующая проблема, мы имеем два два провайдера с внешними ip адресами, 94.243.137.34 и 185.46.154.10.
На 94.243.137.34 поднят TMG (ISA SERVER) через него пользователи ходят в интернет
на 185.46.154.10 поднят RRAS и к нему подключаются по VPN так называемые коробочки, в каждой коробочке находится компьютер с windows server 2008 r2 на котором поднят RRAS и DHCP сервер, 3G USB Модем, контроллер СКУД который фиксирует по отпечаткам пальцев рабочих на стройке, также в коробочке встроена IP камера, ПО которой тоже установлено на компьютере.
Сейчас коробочки подключаются к 185.46.154.10 по VPN PPTPИмя сервера: GSERV на котором Windows server 2008r2 с установленной TMG 2010
WAN 94.243.137.34 внешний ip
LAN 10.10.10.0/24 Это внутренняя сеть офиса, в ней находятся все работники сети
Имя сервера: ROUTER V2 на котором Windows server 2008r2 поднята служба RRAS
WAN 185.46.154.10 внешний
LAN 10.10.12.0/25
Сейчас ящики имеют адреса на LAN интерфейсах 10.10.14.1/26, 10.10.14.64/26, 10.10.14.129/26 и тд, есть еще одна коробка с адресацией 10.10.13.1/24.
Из офисной сети 10.10.10.0/24 доступны устройства по их IP адресам, к примеру 10.10.14.1 сервер, 10.10.14.2 контроллер СКУД для выгрузки данных, загрузке новых сотрудников и их отпечатков, 10.10.14.3 ip камера.
Привожу скрины с клиента 10.10.14.129
Router V2 постоянно отваливается, есть подозрение что его досят, но не важно, у меня встал вопрос как заменить Router V2 с RRAS на Pfsense, так чтобы все это продолжило работать, в будущем есть желание отказаться от TMG который установлен на GSERV, тоже мозги выносит конкретно с инетрнетом в офисе. я попробовал на pptp, и пофиг на безопасность, настроить, но я совсем не разбрался после виндузятины как это сделать. может есть какие идеи, можно впринципе и на openvpn замутить, но у меня вопрос как поднимать автоматом соединение при разрыве и как быть в случае. если у меня только один внешний айпи, а коробочки ведь через usb модем коннектяться без внешнего айпишника, платить мобильным операторам за внешний айпи мы не будем. моет у кого есть какие идеи народ, помогите? также на стройках помимо коробочек сидят архитектороы, которые коннектяться по vpn к офисной локальной сети на wan интерфейс gserv чтобы шары были доступны, сетевые папки. Хотлосьбы чтобы можно было еще коннектить роутеры на tomato по впн чтобы также были доступны внутренние ресурсы сети, также чтобы была доменная авторизация узерей, а не чтобы они под локальными учетками сидели на объектах, вот))
Сейчас до дома доеду постараюсь изобразить все это чудо в визио
-
или проще как объединить несколько сетей в одну, если публичный айпи только у головного офиса, а у остальных сетей серые айпи?
кстати сети 10.10.10.0/24 gserv и 10.10.12.0/24 router v2 объединены маршрутом, забыл написать.
p.s. из опыта имею только настройку pfsense squid и фильтр контента на предыдущей работе настроил по гайду лисяры и забыл, уволился, спустя три года другой админ звонит и жалуется что комп подлх с pfsense что типа делать ыыы, с vpn до этого не имел дело -
Эх! Какое красивое название темы! А тут…
или проще как объединить несколько сетей в одну, если публичный айпи только у головного офиса, а у остальных сетей серые айпи.
Для поднятия VPN один IP необходим и обычно достаточен. Вопрос, кто строил существующую сеть?
-
до меня строили, я доломал, соглашусь решение неверное, иса орет ругается на топологию
@Scodezan:Эх! Какое красивое название темы! А тут…
или проще как объединить несколько сетей в одну, если публичный айпи только у головного офиса, а у остальных сетей серые айпи.
Для поднятия VPN один IP необходим и обычно достаточен. Вопрос, кто строил существующую сеть?
-
предыдущий админ аргументировал топологию тем, что сначала была просто сеть с одним провом без всяких там коробочек
@Scodezan:Эх! Какое красивое название темы! А тут…
или проще как объединить несколько сетей в одну, если публичный айпи только у головного офиса, а у остальных сетей серые айпи.
Для поднятия VPN один IP необходим и обычно достаточен. Вопрос, кто строил существующую сеть?
-
Ещё интересно, что подразумевается под схемой Site-to-Site?
-
да хз, хочу из 10.10.10.0/24 видеть коробочки эти, скуд и камеры которые в них больаютсч, а также компы в этих коробочках, хотя я как понял сейчас реализовано через точка-точка, познания нулевые в этом
@Scodezan:Ещё интересно, что подразумевается под схемой Site-to-Site?
-
Рисуйте схему со всей (и правильной) адресацией и опишите на ней чего хотите добиться.
-
Роутеры ASUS с прошивкой Tomato, а в ней только PPTP и OpenVPN клиенты, а вот компы с 3G модемами имеют только PPTP клиенты в RRAS, но думаю это ведь не проблема, поднять какой-нибудь OpenVPN клиент, с возможностью возобновления подключения при обрыве? RRAS с этим справлялся отлично и модемное соединение поднимал и PPTP соединение автоматом, было очень удобно. Но не всегда стоит 3G модем, иногда на стройках есть полноценный интернет, тогда заместо модема кидается хвост или через вафлю комп коннектится к роутеру ASUS, который в свою очередь имеет доступ в интернет. Неплохо бы организовать коннект таких роутеров по ВПН, чтобы все юзеры подключенные к роутеру имели доступ в сеть LAN 1 и к ее ресурсам.
@werter:Рисуйте схему со всей (и правильной) адресацией и опишите на ней чего хотите добиться.
-
Поднимайте OpenVPN и на клиентах и на серверах\ роутерах Asus, настраивайте правила fw и будет Вам счастье.
P.s. И MS TMG смените тоже. Например, на pfsense ;D
также в коробочке встроена IP камера, ПО которой тоже установлено на компьютере.
Ели камера IP, то присмотритесь к Ivideon Server для Linux (http://ru.ivideon.com/ivideon-server-linux/) .
P.p.s. А лучше, если позволяет железо\бюджет, поднимите Proxmox на том сервере , где у Вас TMG. И pfsense будет крутиться в кач-ве вирт. машины.
Плюс сможете еще поднимать необходимые сервисы в вирт. среде. -
Это все добрецо уже крутится на hyper-v, понятно что это говнецо редкостное, но все-же пока так, по виндовое уже куплено макроскоп. пришлите пожалуйста ссылочку на гайд по поднятию OpenVPN сервера на публичном айпишнике и подключение к нему клиентов с серыми ip. Чтото так сходу не тыкается пальчиком pfsense в плане openvpv сервиса, если не сложно ссылочки прошу запостить)) Да MS TMG понятно будет сменен попозжя, пока хочется с коробочками разобраться, чтобы по объектам не ездить))
@werter:Поднимайте OpenVPN и на клиентах и на серверах\ роутерах Asus, настраивайте правила fw и будет Вам счастье.
P.s. И MS TMG смените тоже. Например, на pfsense ;D
также в коробочке встроена IP камера, ПО которой тоже установлено на компьютере.
Ели камера IP, то присмотритесь к Ivideon Server для Linux (http://ru.ivideon.com/ivideon-server-linux/) .
P.p.s. А лучше, если позволяет железо\бюджет, поднимите Proxmox на том сервере , где у Вас TMG. И pfsense будет крутиться в кач-ве вирт. машины.
Плюс сможете еще поднимать необходимые сервисы в вирт. среде. -
Чтото так сходу не тыкается пальчиком pfsense в плане openvpv сервиса, если не сложно ссылочки прошу запостить))
Присоединяюсь к вопросу~~, особенно в плане, как получить хотя бы дуплекс 20 Mbit/s~~.
-
Чтото так сходу не тыкается пальчиком pfsense в плане openvpv сервиса, если не сложно ссылочки прошу запостить))
Присоединяюсь к вопросу~~, особенно в плане, как получить хотя бы дуплекс 20 Mbit/s~~.
Вы оба издеваетесь, что ли ? Совсем обленились, "одмины" ? Глаза ниже опустите в перечне тем в русскоязычной ветке
Тема "OpenVPN PKI: Site-to-Site инструкция для обсуждения" для кого писана? Или у нас с вами интернет разный?
-
Видимо, разный. Действующую инструкцию о том как подключить WinOpenVPN клиента к pfsense без пароля и ограничения скорости я не нашёл. Находил только информацию о том, что я не один такой, и о том как другие смирились с этим.
-
Видимо, разный. Действующую инструкцию о том как подключить WinOpenVPN клиента к pfsense без пароля и ограничения скорости я не нашёл. Находил только информацию о том, что я не один такой, и о том как другие смирились с этим.
Шта ?! https://forum.pfsense.org/index.php?topic=59081.0 ?
Вы начните хотя бы настраивать. После настройки выкладывайте скрины.
P.s. В Вашем представлении "без пароля" - это на сертификатах? Если это так, то в чем проблема тогда ?
-
Видимо, разный. Действующую инструкцию о том как подключить WinOpenVPN клиента к pfsense без пароля и ограничения скорости я не нашёл. Находил только информацию о том, что я не один такой, и о том как другие смирились с этим.
Шта ?! https://forum.pfsense.org/index.php?topic=59081.0 ?
Вы начните хотя бы настраивать. После настройки выкладывайте скрины.
P.s. В Вашем представлении "без пароля" - это на сертификатах? Если это так, то в чем проблема тогда ?
я уже поглядывал на эту статейку, спасибо что подтвердили мои предположения, у меня немного осложнились дела с подключением по ван, а на работе пока другим озадачили, я обязательно начну настраивать, ещё задам вопросы))
-
Видимо, разный. Действующую инструкцию о том как подключить WinOpenVPN клиента к pfsense без пароля и ограничения скорости я не нашёл. Находил только информацию о том, что я не один такой, и о том как другие смирились с этим.
Шта ?! https://forum.pfsense.org/index.php?topic=59081.0 ?
Вы начните хотя бы настраивать. После настройки выкладывайте скрины.
P.s. В Вашем представлении "без пароля" - это на сертификатах? Если это так, то в чем проблема тогда ?
Пользуясь статьей по вашему совету, получилось увидеть сам сервер pfsense 10.10.12.2 через броузер, на пинги он не отвечает, но через броузер конфигурируется хорошо, компьютер win 7 10.10.12.20 не пингуется по рдп не доступен, хотя с этого компьютера(win 7 10.10.12.20) виден в броузере и попингуй ходит на асусий роутер 192.168.1.1, а также с него пингются клиенты сети 192.168.1.0/24, которые подключены к асусему роутеру 192.168.1.1, что впринципе радует. Но увы из сети 10.10.10.0/24 не пингуется никто из сети 192.168.1.0/24, а также недоступен, не пингуется и не видна в броузере веб морда асусего роутера 192.168.1.1
ниже привожу скриншоты настроек пифа, чуть позже накатаю схемку откуда куда ходят попингуйчики и видны веб морды))
Помогите хочется видеть из сети 10.10.10.0/24 сеть 192.168.1.0/24, если это не возможно, прошу посоветовать как перестроить сеть
настройки TMG 10.10.10.5
-
1. На вкладке fw PPTP достаточно будет одного правила (временно ?) - разрешено всё всем (т.е. везде *)
2. Не надо создавать маршруты руками. OpenVPN и сам прекрасно это умеет с помощью директив route\push "route … "
3. Во кладке fw LAN на pfsense необходимо специально создать правило разр. прохождение трафика из LAN в сеть за клиентом.И я бы исп. клиент-серверный вариант OpenVPN, а не p2p как у Вас.
Старайтесь исп. везде OpenVPN, а не PPTP. Или объясните особенность исп. только PPTP. -
1. На вкладке fw PPTP достаточно будет одного правила (временно ?) - разрешено всё всем (т.е. везде *)
2. Не надо создавать маршруты руками. OpenVPN и сам прекрасно это умеет с помощью директив route\push "route … "
В чем их различие, что в какую вкладку писать?
3. Во кладке fw LAN на pfsense необходимо специально создать правило разр. прохождение трафика из LAN в сеть за клиентом.
Я правильно понял про правила?И я бы исп. клиент-серверный вариант OpenVPN, а не p2p как у Вас.
Подскажите как использовать клиент-серверный вариант, я нашел только Remote Access?
Старайтесь исп. везде OpenVPN, а не PPTP. Или объясните особенность исп. только PPTP.
PPTP использую как запасной вариант, при экспериментах, потом уберу.
ТОлько вот при таких настройках асусий роутер перестал коннектиться, грусть((
Логи с асусего роутера 192.168.1.1
May 13 21:52:39 asus daemon.notice openvpn[16893]: Auth read bytes,0
May 13 21:52:39 asus daemon.notice openvpn[16893]: END
May 13 21:52:42 asus daemon.err openvpn[16893]: event_wait : Interrupted system call (code=4)
May 13 21:52:42 asus daemon.notice openvpn[16893]: OpenVPN STATISTICS
May 13 21:52:42 asus daemon.notice openvpn[16893]: Updated,Wed May 13 21:52:42 2015
May 13 21:52:42 asus daemon.notice openvpn[16893]: TUN/TAP read bytes,0
May 13 21:52:42 asus daemon.notice openvpn[16893]: TUN/TAP write bytes,0
May 13 21:52:42 asus daemon.notice openvpn[16893]: TCP/UDP read bytes,0
May 13 21:52:42 asus daemon.notice openvpn[16893]: TCP/UDP write bytes,84
May 13 21:52:42 asus daemon.notice openvpn[16893]: Auth read bytes,0
May 13 21:52:42 asus daemon.notice openvpn[16893]: END
May 13 21:52:44 asus daemon.err openvpn[16893]: event_wait : Interrupted system call (code=4)
May 13 21:52:44 asus daemon.notice openvpn[16893]: OpenVPN STATISTICS
May 13 21:52:44 asus daemon.notice openvpn[16893]: Updated,Wed May 13 21:52:44 2015
May 13 21:52:44 asus daemon.notice openvpn[16893]: TUN/TAP read bytes,0
May 13 21:52:44 asus daemon.notice openvpn[16893]: TUN/TAP write bytes,0
May 13 21:52:44 asus daemon.notice openvpn[16893]: TCP/UDP read bytes,0
May 13 21:52:44 asus daemon.notice openvpn[16893]: TCP/UDP write bytes,84
May 13 21:52:44 asus daemon.notice openvpn[16893]: Auth read bytes,0
May 13 21:52:44 asus daemon.notice openvpn[16893]: END
May 13 21:53:39 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 13 21:53:39 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
May 13 21:53:39 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
May 13 21:53:39 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
May 13 21:53:41 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
May 13 21:53:41 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
May 13 21:53:41 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
May 13 21:54:41 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 13 21:54:41 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
May 13 21:54:41 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
May 13 21:54:41 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
May 13 21:54:43 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
May 13 21:54:43 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
May 13 21:54:43 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
May 13 21:55:43 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 13 21:55:43 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
May 13 21:55:43 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
May 13 21:55:43 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
May 13 21:55:45 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
May 13 21:55:45 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
May 13 21:55:45 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
May 13 21:56:45 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 13 21:56:45 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
May 13 21:56:45 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
May 13 21:56:45 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
May 13 21:56:47 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
May 13 21:56:47 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
May 13 21:56:47 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
May 13 21:57:48 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 13 21:57:48 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
May 13 21:57:48 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
May 13 21:57:48 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
May 13 21:57:50 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
May 13 21:57:50 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
May 13 21:57:50 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
May 13 21:58:50 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 13 21:58:50 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
May 13 21:58:50 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
May 13 21:58:50 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
May 13 21:58:52 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
May 13 21:58:52 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
May 13 21:58:52 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
May 13 21:59:52 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 13 21:59:52 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
May 13 21:59:52 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
May 13 21:59:52 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
May 13 21:59:54 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
May 13 21:59:54 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
May 13 21:59:54 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
May 13 22:00:01 asus syslog.info root: – MARK --
May 13 22:00:54 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 13 22:00:54 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
May 13 22:00:54 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
May 13 22:00:54 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
May 13 22:00:56 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
May 13 22:00:56 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
May 13 22:00:56 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
May 13 22:01:56 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 13 22:01:56 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
May 13 22:01:56 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
May 13 22:01:56 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
May 13 22:01:58 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
May 13 22:01:58 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
May 13 22:01:58 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194
May 13 22:02:51 asus daemon.err openvpn[16893]: event_wait : Interrupted system call (code=4)
May 13 22:02:51 asus daemon.notice openvpn[16893]: OpenVPN STATISTICS
May 13 22:02:51 asus daemon.notice openvpn[16893]: Updated,Wed May 13 22:02:51 2015
May 13 22:02:51 asus daemon.notice openvpn[16893]: TUN/TAP read bytes,0
May 13 22:02:51 asus daemon.notice openvpn[16893]: TUN/TAP write bytes,0
May 13 22:02:51 asus daemon.notice openvpn[16893]: TCP/UDP read bytes,0
May 13 22:02:51 asus daemon.notice openvpn[16893]: TCP/UDP write bytes,210
May 13 22:02:51 asus daemon.notice openvpn[16893]: Auth read bytes,0
May 13 22:02:51 asus daemon.notice openvpn[16893]: END
May 13 22:02:58 asus daemon.err openvpn[16893]: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
May 13 22:02:58 asus daemon.err openvpn[16893]: TLS Error: TLS handshake failed
May 13 22:02:58 asus daemon.notice openvpn[16893]: SIGUSR1[soft,tls-error] received, process restarting
May 13 22:02:58 asus daemon.notice openvpn[16893]: Restart pause, 2 second(s)
May 13 22:03:00 asus daemon.notice openvpn[16893]: Socket Buffers: R=[114688->131072] S=[114688->131072]
May 13 22:03:00 asus daemon.notice openvpn[16893]: UDPv4 link local: [undef]
May 13 22:03:00 asus daemon.notice openvpn[16893]: UDPv4 link remote: [AF_INET]185.46.154.10:1194Логи пифа повторяются
13 23:07:32 openvpn[92526]: Authenticate/Decrypt packet error: packet HMAC authentication failed
May 13 23:07:32 openvpn[92526]: TLS Error: incoming packet authentication failed from [AF_INET]90.154.74.89:35072
May 13 23:07:49 openvpn[92526]: Authenticate/Decrypt packet error: packet HMAC authentication failed
May 13 23:07:49 openvpn[92526]: TLS Error: incoming packet authentication failed from [AF_INET]90.154.74.89:35072 -
13 23:07:32 openvpn[92526]: Authenticate/Decrypt packet error: packet HMAC authentication failed
Попробуйте на pfsense и на клиенте отключить authentication of TLS packets.
