Странная фильтрация через IPSec



  • Всем привет.
    Есть два офиса, в каждом из которых стоит pfSense в качестве интернет-шлюза. В головном офисе - версия 2.1, а во втором - 2.2. Поднят IPSec, созданы разрешающие всё правила при трафике от одной к другой сети и обратно на каждом из шлюзов. Всё, казалось бы, Ок… Но было замечено, что из одного офиса не получается зайти по http на ресурсы в другом офисе. На ресурсы в той же сети - без проблем! Такое ощущение, что через туннель не ходит http-траффик. В логах firewall ничего похожего на отказ в прохождении траффика из этих сетей не нашел...
    Есть идеи, в чем может быть проблема?



  • Привет.
    Что в кач-ве шлюза на машине где крутится web-сервис ?
    И точно в логах fw на обоих концах ничего нет?



  • Проверил на одном из девайсов - это МФУ-шка от НР. Стоит во втором офисе, IP пока что задан "ручками" (в дальнейшем раздам через резервации в DHCP), шлюзом по умолчанию - pfSense того офиса. Зайти на МФУ через браузер можно только из второго офиса. При вводе адреса в браузере на любой машине первого офиса:

    ОШИБКА
    Запрошенный URL не может быть доставлен.

    Во время доставки URL: http://172.18.2.2/

    Произошла следующая ошибка:

    Не удалось установить соединение.

    Был получен ответ:

    (60) Operation timed out

    Удалённый сервер либо сеть не отвечают. Пожалуйста, повторите запрос.

    Generated Tue, 29 Sep 2015 17:36:32 GMT by localhost (squid/2.7.STABLE9)



  • А чего ж Вы про сквид молчите-то? Добавьте всю удаленную подсеть в исключения на сквиде в dest, чтобы напрямую ходили.

    Что шлюзом в настройках МФУ? Проверьте внимательно.

    Покажите скрины правил fw на Ipsec\LAN обоих пф.



  • Сорри!
    Про сквид не подумал… Недавно поставили. Хорошо, что я эту надпись заметил и полностью привел сообщение о тайм-ауте из браузера! :)
    Поставил галку "Bypass proxy for Private Address Space (RFC 1918) destination" в Services - Proxy Server и все заработало как надо!
    Спасибо!!!



  • Не все….
    Остался непобежденным Asterisk. Точнее - регистрация телефона. Не смотря на наличие галки из предыдущего поста и явного указания сетей 192.168.0.0/24 (Офис1) и 172.18.0.0/16 (Офис2) в качестве Bypass proxy for these source IPs и Bypass proxy for these destination IPs, я не могу зарегистрировать аппарат из сети в Офисе1 на Asterisk-е, находящемся в сети Офиса2.
    Прилагаю скрин правил Fierwall для IPSec на одном из шлюзов. На втором - точно такие же правила.

    Я заметил, что после установки LighSquid на обоих шлюзах c установленной галкой Transparent proxy, есть некоторые проблемы. Поэтому предполагаю, что вопрос сводится к разрешению и прохождению всего трафика между сетями офисов без участия прокси. Что еще нужно для этого сделать?
    Спасибо.



  • Разве сквид имеет отношения к sip ? Удалите все правила в ipsec и создайте одно, разрешающее всё и всем (все "звездочки")

    Покажите скрины правил fw на LAN обоих pf.
    Смотрите настройки машины с Астериск на предмет fw на нем или запрета\разрешения определенных сетей.
    Для работы с Астериск рекомендую FreePBX. Существуеи и готовое коробочное решение - https://www.schmoozecom.com/distro-download.php



  • Конечно, не имеет :) (Это я про SIP и proxi). Просто какая-то ж…, пардон, проблема со связью наблюдается.
    Сделал два правила (по одному на каждом из pf) для IPSec, для разрешения всего и вся как написано постом ранее.
    Скрины правил для LAN прилагаю.
    Asterisk крутится на виртуалке, живущей на Hyper-V. Сейчас работает нормально.
    Проблемы крайне странные - IPSec есть, сетевые папки доступны, при этом не проходят пинги и не работает репликация между контроллерами в разных сайтах.


    И еще вопрос - почему при наличии разрешающих правил для IPSec в логах fw видно это:



  • Скрин правил fw на IPSec.




  • На втором - тоже самое



  • Супер. Молодец. Разрешил в IPSec только TCP и не понимает, почему же это ping (ICMP) не работает.
    И SIP , к-ый по UDP должен работать.

    P.s. http://linkmeup.ru/tag/сети для самых маленьких/ - прямо с нулевой части и начинайте. Сам пользую.



  • Да….
    Это мой косяк. И невнимательность. Поправил на any - все ок.
    И спасибо за линк.


Log in to reply