Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Объединение сетей ipsec

    Scheduled Pinned Locked Moved Russian
    9 Posts 3 Posters 12.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      Stark
      last edited by

      Добрый день, коллеги.
      Прошу помощи, так как не являюсь специалистом в данной области, хотя задача похоже тривиальная.
      Мне необходимо построить VPN туннель между двумя офисами (это нужно для того, чтобы организовать передачу данных между серверами, а в дальнейшем и доступ к общим ресурсам).
      С моей стороны установлен Pfsense.
      Из всех технологий VPN, колторый умеет Pfsense, мне посоветовали именно ipsec.
      Помогите документацией, если есть пошаговой  ::) А если есть русская, то вообще хорошо.

      С уважнием, Владимир

      1 Reply Last reply Reply Quote 0
      • D
        dvserg
        last edited by

        Могу только посоветовать раздел доков сайта pfSense и англоязычный раздел форума по VPN. К сожалению русских доков нет (по настройке pfSense).

        SquidGuardDoc EN  RU Tutorial
        Localization ru_PFSense

        1 Reply Last reply Reply Quote 0
        • S
          Stark
          last edited by

          Друзья, подскажите. Пересмотрел много документации как по pfsense, так и по m0n0wall ,но так как практического опыта не имею, прошу помощи у вас.

          Итак, есть задача - объединение двух сетей.
          на моей стороне в (головном офисе) установлен pfsense.
          В удаленном офисе, к сожалению, Kerio Winroute.

          Вот что прописано у меня в "VPN: IPsec: Edit tunnel"

          VPN: IPsec: Edit tunnel

          Interface  WAN
          Local subnet Type:    subnet

          Remote subnet: внутренняя сеть удаленного офиса/ разрядность
          Remote gateway:  белый IP удаленного офиса.

          Phase 1 proposal (Authentication)
          Negotiation mode:  aggressive
          My identifier: FQDN (Pre-shared keys Identifier)
          Encryption algorithm: 3DES
          Hash algorithm  SHA1
          Must match the setting chosen on the remote side. 
          DH key group  2 (1024 bit)
          Lifetime  seconds 28800    (кстати, какое время ставить лучше?)
          Authentication method:  Pre-shared key
          Pre-Shared Key: Pre-shared keys Identifier (from Pre-shared keys)

          Phase 2 proposal (SA/Key Exchange)
          Protocol  ESP
          ESP is encryption, AH is authentication only 
          Encryption algorithms: 3DES
          Hash algorithms: SHA1

          PFS key group: 2 (1024 bit)

          Lifetime  seconds: 28800

          Keep alive
          Automatically ping host

          вот кусок лога.

          Jun 25 16:55:00 racoon: INFO: initiate new phase 1 negotiation: (мой белый IP)[500]<=>(белый IP удаленного офиса)[500]
          Jun 25 16:55:00 racoon: INFO: begin Aggressive mode.
          Jun 25 16:55:31 racoon: ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP белый IP удаленного офиса[500]->(мой белый IP)[500]
          Jun 25 16:55:31 racoon: INFO: delete phase 2 handler.
          Jun 25 16:56:00 racoon: ERROR: phase1 negotiation failed due to time up. 6fe5d72f7a63ced9:0000000000000000

          Как быть, что посоветуете?
          С уважением, Владимир

          1 Reply Last reply Reply Quote 0
          • D
            dvserg
            last edited by

            http://www.redline-software.com/rus/support/docs/winroute/ch11s07.php

            Если не вру - керио может PPTP. Лучше сервер поднять на Вашей стороне а керио как клиент. Или как Сервер-Сервер

            http://www.redline-software.com/rus/support/docs/winroute/ch12s05.php?phrase_id=1508547

            SquidGuardDoc EN  RU Tutorial
            Localization ru_PFSense

            1 Reply Last reply Reply Quote 0
            • S
              Stark
              last edited by

              Новые сообщения в системных логах

              Jun 26 09:35:57 racoon: INFO: respond new phase 1 negotiation: 78.107.47.226[500]<=>91.144.162.195[500]
              Jun 26 09:35:57 racoon: INFO: begin Aggressive mode.
              Jun 26 09:35:57 racoon: INFO: received Vendor ID: DPD
              Jun 26 09:35:57 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
              Jun 26 09:35:57 racoon: ERROR: unknown notify message, no phase2 handle found.

              Не могу понять что значат эти сообщения
              Посмотрел настройки racoon, вроде все как положено.
              спасибо.

              1 Reply Last reply Reply Quote 0
              • D
                dvserg
                last edited by

                KWF IPSEC не поддерживает.

                SquidGuardDoc EN  RU Tutorial
                Localization ru_PFSense

                1 Reply Last reply Reply Quote 0
                • P
                  PupkinVasya
                  last edited by

                  Kerio поддерживает своеобразный VPN :-), им может строить тунели только между серверами с таким же Kerio!

                  1 Reply Last reply Reply Quote 0
                  • D
                    dvserg
                    last edited by

                    @PupkinVasya:

                    Kerio поддерживает своеобразный VPN :-), им может строить тунели только между серверами с таким же Kerio!

                    Я встречал упоминания что керио дружит с PPTP. Нужно рыть гугл…

                    SquidGuardDoc EN  RU Tutorial
                    Localization ru_PFSense

                    1 Reply Last reply Reply Quote 0
                    • S
                      Stark
                      last edited by

                      Удалось мне все же поднять VPN, только с другим филиалом :))))
                      На том конце стоит железка ZyWall 2 plus.

                      Теперь весь вопрос в роутинге.
                      В статье http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec.html прочитал, что весь роутинг между объединяемыми сетями должен проходить через "виртуалдьное сетевое подключение". Наличие которого можно посмотреть через ifconfig.
                      Посмотрел, такового у меня нет.
                      Может в пакете pfsense это реализованно по-другому?

                      Заранее благодарен

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.