Объединение сетей ipsec



  • Добрый день, коллеги.
    Прошу помощи, так как не являюсь специалистом в данной области, хотя задача похоже тривиальная.
    Мне необходимо построить VPN туннель между двумя офисами (это нужно для того, чтобы организовать передачу данных между серверами, а в дальнейшем и доступ к общим ресурсам).
    С моей стороны установлен Pfsense.
    Из всех технологий VPN, колторый умеет Pfsense, мне посоветовали именно ipsec.
    Помогите документацией, если есть пошаговой  ::) А если есть русская, то вообще хорошо.

    С уважнием, Владимир



  • Могу только посоветовать раздел доков сайта pfSense и англоязычный раздел форума по VPN. К сожалению русских доков нет (по настройке pfSense).



  • Друзья, подскажите. Пересмотрел много документации как по pfsense, так и по m0n0wall ,но так как практического опыта не имею, прошу помощи у вас.

    Итак, есть задача - объединение двух сетей.
    на моей стороне в (головном офисе) установлен pfsense.
    В удаленном офисе, к сожалению, Kerio Winroute.

    Вот что прописано у меня в "VPN: IPsec: Edit tunnel"

    VPN: IPsec: Edit tunnel

    Interface  WAN
    Local subnet Type:    subnet

    Remote subnet: внутренняя сеть удаленного офиса/ разрядность
    Remote gateway:  белый IP удаленного офиса.

    Phase 1 proposal (Authentication)
    Negotiation mode:  aggressive
    My identifier: FQDN (Pre-shared keys Identifier)
    Encryption algorithm: 3DES
    Hash algorithm  SHA1
    Must match the setting chosen on the remote side. 
    DH key group  2 (1024 bit)
    Lifetime  seconds 28800    (кстати, какое время ставить лучше?)
    Authentication method:  Pre-shared key
    Pre-Shared Key: Pre-shared keys Identifier (from Pre-shared keys)

    Phase 2 proposal (SA/Key Exchange)
    Protocol  ESP
    ESP is encryption, AH is authentication only 
    Encryption algorithms: 3DES
    Hash algorithms: SHA1

    PFS key group: 2 (1024 bit)

    Lifetime  seconds: 28800

    Keep alive
    Automatically ping host

    вот кусок лога.

    Jun 25 16:55:00 racoon: INFO: initiate new phase 1 negotiation: (мой белый IP)[500]<=>(белый IP удаленного офиса)[500]
    Jun 25 16:55:00 racoon: INFO: begin Aggressive mode.
    Jun 25 16:55:31 racoon: ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP белый IP удаленного офиса[500]->(мой белый IP)[500]
    Jun 25 16:55:31 racoon: INFO: delete phase 2 handler.
    Jun 25 16:56:00 racoon: ERROR: phase1 negotiation failed due to time up. 6fe5d72f7a63ced9:0000000000000000

    Как быть, что посоветуете?
    С уважением, Владимир



  • http://www.redline-software.com/rus/support/docs/winroute/ch11s07.php

    Если не вру - керио может PPTP. Лучше сервер поднять на Вашей стороне а керио как клиент. Или как Сервер-Сервер

    http://www.redline-software.com/rus/support/docs/winroute/ch12s05.php?phrase_id=1508547



  • Новые сообщения в системных логах

    Jun 26 09:35:57 racoon: INFO: respond new phase 1 negotiation: 78.107.47.226[500]<=>91.144.162.195[500]
    Jun 26 09:35:57 racoon: INFO: begin Aggressive mode.
    Jun 26 09:35:57 racoon: INFO: received Vendor ID: DPD
    Jun 26 09:35:57 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
    Jun 26 09:35:57 racoon: ERROR: unknown notify message, no phase2 handle found.

    Не могу понять что значат эти сообщения
    Посмотрел настройки racoon, вроде все как положено.
    спасибо.



  • KWF IPSEC не поддерживает.



  • Kerio поддерживает своеобразный VPN :-), им может строить тунели только между серверами с таким же Kerio!



  • @PupkinVasya:

    Kerio поддерживает своеобразный VPN :-), им может строить тунели только между серверами с таким же Kerio!

    Я встречал упоминания что керио дружит с PPTP. Нужно рыть гугл…



  • Удалось мне все же поднять VPN, только с другим филиалом :))))
    На том конце стоит железка ZyWall 2 plus.

    Теперь весь вопрос в роутинге.
    В статье http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec.html прочитал, что весь роутинг между объединяемыми сетями должен проходить через "виртуалдьное сетевое подключение". Наличие которого можно посмотреть через ifconfig.
    Посмотрел, такового у меня нет.
    Может в пакете pfsense это реализованно по-другому?

    Заранее благодарен


Log in to reply