Доступ по IPSec к расшаренным папкам



  • Настроил IPSec по
    https://doc.pfsense.org/index.php/IKEv2_with_EAP-MSCHAPv2 с указанием на имеющийся в LAN WINS.
    При просмотре сетевого окружения все машины видны, но на расшаренные ресурсы машин на WIN7 не удается зайти.
    Сообщение: Windows не может получить доступ к \Имярек.
    Но к ресурсам на Ubuntu (она же WINS) доступ есть!



  • А если отключить на на время WIN7 брандмауэр?
    Если поможет - настраивать в нем разрешения в разделах File and Printer Sharing



  • @pigbrother:

    А если отключить на на время WIN7 брандмауэр?
    Если поможет - настраивать в нем разрешения в разделах File and Printer Sharing

    Да, проблема связана с брандмауэром - отключение его позволяет увидеть общие папки.
    Но настраивать разрешения на n-ном количестве машин не совсем то решение :(
    Кажется, я сообразил - надо создать L2TP/IPsec туннель.

    Once an IPsec tunnel is established, clients connected to either network will have access to
    each other as if they were connected on different subnets of the same physical network.

    The L2TP service allows external users to remotely access a network interface of our choice.
    Users connected to our network using an L2TP VPN client will have access to the network as if
    they were on physically connected clients.

    В текущем релизе нет проблем с этим вариантом?
    Нужно будет ставить клиента на удаленные машины или можно использовать описанный IPsec?



  • Брандмауэр будет блокировать доступ из любых подсетей отличных от локальной подсети.
    Выход - назначать удаленным клиентам неиспользуемые IP из диапазона  сети, к которой они подключаются. При этом эти адреса не должны быть из диапазона сети, где эти клиенты находятся.

    Но настраивать разрешения на n-ном количестве машин не совсем то решение

    Обычно для совместного доступа используются ресурсы на серверах\выделенных машинах, на них и настраивают брандмауэр.

    Если доступ через IPsec организован средствами Windows (не ваш случай), то  используя групповые политики

    _Можно также выполнить настройку параметра Брандмауэр Windows: Разрешать обход для прошедших проверку IPSec, который находится в следующей папке оснастки «Редактор групповой политики»:

    Computer Configuration\Administrative Templates\Network\Network Connections\Windows Firewall

    Этот параметр политики разрешает прием незапрошенных входящих сообщений от указанных систем, использующих проверку подлинности с помощью протокола IPSec._
    https://msdn.microsoft.com/ru-ru/library/cc785865(v=ws.10).aspx



  • @pigbrother:

    Брандмауэр будет блокировать доступ из любых подсетей отличных от локальной подсети.
    Выход - назначать удаленным клиентам неиспользуемые IP из диапазона  сети, к которой они подключаются. При этом эти адреса не должны быть из диапазона сети, где эти клиенты находятся.

    В How-To пишут для IpSec:
    Enter an unused private Network and appropriate subnet mask (such as /24)
    т.е. надо понимать, что это не неиспользуемые IP из диапазона  сети, к которой они подключаются.

    В How-To для L2TP/IPSec специально указывается, что должен быть выделены неиспользуемые IP из диапазона  локальной сети.

    В фазе 2 IPSec есть 2 поля назначение которых я не вполне понимаю, а именно Local Network



  • Enter an unused private Network and appropriate subnet mask (such as /24)
    т.е. надо понимать, что это не неиспользуемые IP из диапазона  сети, к которой они подключаются.

    Нет, речь идет как раз о выборе (для туннеля?) отдельной, неиспользуемой ни на стороне сервера, ни на стороне клиента подсети.

    О выдаче клиентам адресов из диапазона локальной сети я написал лишь как способ обойти необходимость настраивать брандмауэры на локальных машинах. Предпочитаю и клиентов и филиалы объединять в отдельные подсети.

    Настройки IpSec вне моей компетенции, предпочитаю OpenVPN, c ним такой режим (TAP Bridging with LAN) настраивался бы, например, так:
    https://forum.pfsense.org/index.php?topic=46984.0


Log in to reply