Главная > Linux > PfSense настройка ipsec тунеля

PfSense настройка ipsec тунеля

 Как в PfSense настроить IPSEC тунель ?

  Как это сделать покажу на примере двух PfSense шлюзов. И так, заходим  раздел VPN - IPSEC, и ставим галочку Enable IPsec. Далее, в правой части окна нажимаем на кнопку в виде плюсика (add phase1 entry). В новом окне выставляем и заполняем следующие поля: Interface - выставляем WAN (т.е. внешний) Remote Gateway - IP адрес нашего второго удаленного шлюза (к примеру 111.111.111.111) Descrption - название нашего тунеля Authentication method - Mutual PSK Negotiation mode - main My identifier - наш IP адрес (my ip address) Peer identifier - Peer ip address Pre-Shared Key - ключ по которому будет идти проверка (с обоих сторон должен быть одинаков) Policy Generation - default Proposal Checking - default Encryption algorithm - чем шифруем (я взял DES) Hash algorithm - алгоритм для хеша (я выбрал MD5) DH key group - какой ключ использовать, я выбрал 1, можно и другие если устройство на другом конце поддерживает такой метод. NAT Traversal - enable (на всякий случай) Dead Peer Detection - галочку не ставим Все, жмем Save. Сам тунель с одной стороны мы настроили, теперь нужно внутри него сделать (если так можно выразиться) построить внутреннюю (локальную) сеть. Наша настройка выглядит следующим образом (в меню VPN - IPSEC) И теперь нам надо нажать на кнопку Show 1 Phase-2 entries, таблица развернется и будет выглядить следующим образом. Не пугайтесь, часть которая подчеркнута оранжевым цветом - у вас ее еще нет (я делал обзор с настроенного тунеля). Теперь жмем на кнопку с плюсом (обведена красным квадратом). В новом окне настраиваем следующие пункты: Mode - tunnel Local Network - lan subnet Remote Network - Type : network, Address: адрес локальной сети которая находится на другом конце (у меня это 192.168.150.0) Description - описание Protocol - ESP Encryption algorithms - только галочка на DES Hash algorithms - SHA1 PFS key group - off Lifetime - 28800 Вот и все, жмем Save и настраиваем наш Firewall, иначе тунель не поднимется. Выбираем Firewall - Rules - IPsec Жмем кнопку добавить (в виде крестика). В новом окне настраиваем правило: Action - Pass Interface - выбираем IPsec Protocol - любой (any) Source - Type: network, Address: локальный ip адрес нашей удаленной точки (192.168.150.0) Destination - Lan Subnet Ну и description. После нажатия кнопки Save, все точно так же, только с IP адреса нашего шлюза (а не удаленного) настраиваем на втором удаленном шлюзе. Как только все настроено, возможно понадобиться над "пинка", чтобы шлюзы поднялись. Заходим в меню Status - IPsec И жмем на кнопку в ввиде шестеренки со стрелочкой на против нашего тунеля, значек с желтого крестика, должен поменяться на зеленую стрелочку если все прошло успешно. Удачи.
1 звезда2 звезды3 звезды4 звезды5 звезд (1 votes, average: 5,00 out of 5)
Loading...Loading...
  1. Александр
    20 Февраль 2013 в 15:51 | #1

    Настроил все поинструкции, но почемуто пингуются только шлюзы, компьютеры в удаленных сетях не пингуются. В чем может быть проблема? Куда копать?

  2. chum
    20 Февраль 2013 в 19:42 | #2

    @Александр
    А какие у Вас а правила в разделе Firewall-Rules-IPsec ?

  3. Александр
    21 Февраль 2013 в 05:22 | #3

    разрешил все для всех в правила в разделе Firewall-Rules-IPsec

  4. chum
    21 Февраль 2013 в 06:21 | #4

    @Александр
    Есть возможность показать скрины rules'ов lan,wan и ipsec?

  5. 2 Май 2013 в 17:50 | #5

    Сделал как здесь написано, туннель поднимается, но связи между компами нет - пинги не проходят...

    • chum
      3 Май 2013 в 13:38 | #6

      Посмотрите внимательно на правила в фаерволе, правильно ли указаны подсети на пинг и вообще на прохождение трафика

  6. 4 Май 2013 в 17:29 | #7

    На файрволле всё разрешено. Прикладываю скрин. http://yadi.sk/d/emevb_Zm4Z-4B

  7. chum
    5 Май 2013 в 15:26 | #8

    @Sergey Куликов Сергей
    Попробуйте как вариант (конечно не совсем верно что у Вас все и вся) еще указать протокол не TCP, а все (*)

  8. 19 Май 2013 в 07:59 | #9

    Александр, объясните пожалуйста фразу "После нажатия кнопки Save, все точно так же, только с IP адреса нашего шлюза (а не удаленного) настраиваем на втором удаленном шлюзе".

  9. chum
    19 Май 2013 в 20:24 | #10

    @Sergey Куликов Сергей
    имелось ввиду, настроить на втором шлюзе все по той же схеме только внешний айпи берется другой

  10. 23 Май 2013 в 18:52 | #11

    Александр, если всё сделать точь в точь, как Вы тут написали, то всё работает:) Прежде я делал по другой статье, где в качестве режима согласование использовался - Агрессивный, а в качестве алгоритма шифрования - 3DES. Так вот по такой схеме у меня туннель поднимается, а трафик из сети в сеть не ходит. Сделав всё точно как Вы написали, всё зашуршало:) Спасибо Вам за полезную статью!

  11. Роман
    25 Май 2013 в 17:45 | #12

    Как добавить интерфейс созданного туннеля IpSec?
    Хочу создать группу шлюзов (резервные маршруты).
    Когда создаю интерфейс, нужно выбрать "Network Port". Среди них есть локалка, интернеты, туннели OpenVPN, PPTP, GRE. Но IpSec нет.

    • chum
      29 Май 2013 в 07:29 | #13

      Тоже искал, скорее всего (ну лично я так думаю), если используется один айпи то на него больше чем 1 ipsec повесить нельзя.

  12. Гыгы
    4 Сентябрь 2013 в 11:26 | #14

    Большое спасибо за информацию, очень помогло. Настроил туннель между pfsense и ZyWALL USG 100.

    • chum
      4 Сентябрь 2013 в 11:58 | #15

      Всегда пожалуйста, присылайте свои материалы, чтобы сделать этот мир проще :)

  13. leo
    4 Декабрь 2013 в 05:55 | #16

    Добрый день! Помогите разобраться, пожалуйста: Настроил туннель между pfsense и ZyWALL USG 20, но с подсети где pfsense в удаленной подсети пингуется только zywall, а с подсети где zywall удаленная подсеть не пингуется вовсе. В правилах обоих фаерволов все разрешено. Куда копать?

    • chum
      4 Декабрь 2013 в 06:05 | #17

      Добрый день. Только в файервол копать. Кидайте скрины будем пробовать разбираться.

  14. leo
    4 Декабрь 2013 в 06:40 | #18

    В скринах все так же, как у Вас, кроме адресов и ключа. Подозреваю, что проблема в pppoe-подключениях от Ростелекома с обеих сторон. Может ли это быть причиной?

  15. chum
    4 Декабрь 2013 в 06:58 | #19

    @leo
    Я конечно не профи, но вообще IpSec ложится не зависимо от того через что подключен интернет. Это некая "труба" которая работает сама. Возможно есть какие то правила еще которые влияют на прохождени трафика?

  16. leo
  17. chum
    5 Декабрь 2013 в 06:21 | #21

    @leo
    А файервол в зикселе?
    Я когда настраивал IpSec с Zywall 5e и других моделях, у меня были затыки на ихних фаерволах, возможно там что то забыли?

  18. leo
    5 Декабрь 2013 в 08:19 | #22

    @chum
    Зиксел с нуля настраивался, отключение фаервола на нем ситуацию не меняет
    Буду пробовать с обеих сторон pfsense

  19. chum
    5 Декабрь 2013 в 09:36 | #23

    @leo
    У меня под рукой зикселя нет, попробую на днях посмотреть конфигурацию в соседнем офисе, у меня работает все на ура и именно зиксель+пфсенс

  20. chum
    10 Декабрь 2013 в 06:12 | #24

    @leo
    Посмотрел настройки на своем зиксель...
    Конечно маловероятно но все же, есть галка забавная, звать ее "NAT traversal" - если она не включена, включите ее.

  21. leo
    12 Декабрь 2013 в 06:11 | #25

    NAT traversal включена с обеих сторон

  22. leo
    23 Декабрь 2013 в 10:21 | #26

    поднял vpn туннель между двумя pfsense, но через некоторое время он падает (сутки-двое, не засекал). Помогает выключение/включение туннеля. Подскажите, куда смотреть?

  23. chum
    23 Декабрь 2013 в 10:26 | #27

    @leo
    А у Вас случайно не два канала интернета? На одном из "сенсов" ?

  24. leo
    23 Декабрь 2013 в 23:41 | #28

    по одному с обеих сторон. Вообще схемы подключения в обоих офисах идентичны

  25. chum
    24 Декабрь 2013 в 13:38 | #29

    @leo
    И в логах нет ничего интересного? Пробовали ставить галочки чтобы они друг друга пинали если происходит разрыв?

  26. leo
    24 Декабрь 2013 в 23:52 | #30

    В логах вот что:
    Dec 25 09:46:38 racoon: [gamburg]: INFO: IPsec-SA request for 2.2.2.2 queued due to no phase1 found.
    Dec 25 09:46:38 racoon: [gamburg]: INFO: initiate new phase 1 negotiation: 1.1.1.1[500]2.2.2.2[500]
    Dec 25 09:46:38 racoon: INFO: begin Identity Protection mode.
    Dec 25 09:46:38 racoon: ERROR: phase1 negotiation failed due to send error. 14801c004ad64230:0000000000000000
    Dec 25 09:46:38 racoon: ERROR: failed to begin ipsec sa negotication.

    О каких галочках речь? Даже если вручную пнуть (connect vpn) не помогает. Коннектится только при выключении/включении туннеля с одной стороны.

  27. chum
    25 Декабрь 2013 в 08:41 | #31

    @leo
    Дайте скрин phase1 глянуть

  28. leo
    26 Декабрь 2013 в 23:36 | #32

    Как я уже писал, настройки vpn с обеих сторон такие же, как на ваших скринах.
    Заметил, что vpn-туннель отваливается в момент, когда кто-нибудь подключается с домашнего компьютера к vpn по pptp, который настроен на одном pfsense:
    Dec 27 08:37:37 racoon: WARNING: unrecognized route message with rtm_type: 4
    Dec 27 08:37:37 racoon: WARNING: unrecognized route message with rtm_type: 4
    Dec 27 08:37:37 racoon: WARNING: unrecognized route message with rtm_type: 4
    Dec 27 08:48:00 racoon: WARNING: unrecognized route message with rtm_type: 4
    Dec 27 08:48:00 racoon: WARNING: unrecognized route message with rtm_type: 4
    Dec 27 08:48:30 racoon: [2.2.2.2] INFO: DPD: remote (ISAKMP-SA spi=9834b9c0dbef26aa:13e5e9a3606716ed) seems to be dead.
    Dec 27 08:48:30 racoon: INFO: purging ISAKMP-SA spi=9834b9c0dbef26aa:13e5e9a3606716ed.
    Dec 27 08:48:30 racoon: INFO: purged IPsec-SA spi=25006899.
    Dec 27 08:48:30 racoon: INFO: purged IPsec-SA spi=224811452.
    Dec 27 08:48:30 racoon: INFO: purged ISAKMP-SA spi=9834b9c0dbef26aa:13e5e9a3606716ed.
    Dec 27 08:48:31 racoon: [gamburg]: INFO: ISAKMP-SA deleted 1.1.1.1[500]-2.2.2.2[500] spi:9834b9c0dbef26aa:13e5e9a3606716ed
    Dec 27 08:48:42 racoon: [gamburg]: INFO: IPsec-SA request for 2.2.2.2 queued due to no phase1 found.
    Dec 27 08:48:42 racoon: [gamburg]: INFO: initiate new phase 1 negotiation: 1.1.1.1[500]2.2.2.2[500]
    Dec 27 08:48:42 racoon: INFO: begin Aggressive mode.
    Dec 27 08:48:42 racoon: ERROR: phase1 negotiation failed due to send error. 97545596bb2843da:0000000000000000
    Dec 27 08:48:42 racoon: ERROR: failed to begin ipsec sa negotication.

    Соответственно в 08:37:37 было подключение pptp, в 08:48:00 отключение pptp, после которого vpn-туннель упал

  29. leo
    26 Декабрь 2013 в 23:48 | #33

    Aggressive или main mode - ситуации не меняет

  30. chum
    27 Декабрь 2013 в 10:45 | #34

    @leo
    Очень странно конечно, может быть каким то образом пересекаются подсети? (бред конечно но все же).

    У меня на ipsec стоит 192.168.120.0, на PPTP стоит 192.168.121.0 - ну это так к слову. Ничего не отключается, народ работает и так и так.

    Может быть еще конечно правила фаервола?

  31. leo
    27 Декабрь 2013 в 11:11 | #35

    А pptp юзеры должны быть в другой подсети? :)
    Мониторим

  32. leo
    29 Декабрь 2013 в 09:11 | #36

    Не помогло. Упал туннель. Подозреваю, что опять при отключении pptp юзера, но логи уже затерлись. Посмотрю в след раз

  33. leo
    29 Декабрь 2013 в 09:20 | #37

    в фаерволе pptp одна строка со всеми разрешениями

  34. chum
    29 Декабрь 2013 в 11:32 | #38

    @leo
    Так может в этом и есть касяк. Пропишите в фаерволе в pptp и в ipsec для каждой свои правила.

  35. chum
    29 Декабрь 2013 в 11:40 | #39

    @leo
    А на счет того чтобы шлюзы друг друга пинали, попробуйте включить DPD. Скрин прикрепил.

  36. leo
    29 Декабрь 2013 в 22:10 | #40

    прописал в правилах ipsec и pptp источниками соответствующие подсети, включил DPD, мониторим

  37. leo
    14 Январь 2014 в 05:22 | #41

    Вобщем, ничего не помогло, при подключении/отключении pptp юзера vpn-туннель падал. Перешел на l2tp, все ок.

  38. Dmitriy
    24 Январь 2014 в 05:27 | #42

    Есть проблема. Туннель от Cisco IPSec gre.
    Стоит пробовать создать клиента на PfSense

  39. Vladimir
    26 Март 2014 в 11:50 | #43

    Добрый день! Подскажите пожалуйста есть ли возможность создать VPN тонель между двумя pfsense если с каждой стороны используются 2 канала разных провайдеров (основной+резервный). Т.е. насколько я понял есть возможность использовать в настройке VPN в качестве интерфейса группу адресов. А вот есть ли возможность в качестве Remote gateway использовать группу адресов ( а точнее 2 адреса) непонятно.

  40. chum
    26 Март 2014 в 11:58 | #44

    @Vladimir
    Я тоже бился над этим вопросом, может быть это и реально сделать, но так чтобы нет мануала и самому - мне искать надоело. Если найдете решение - сообщите. У меня только два провайдера и если один падает то идет переключение на другой но при этом естественно IPSEC падает. Проблему пока не решил.

  41. Vladimir
    26 Март 2014 в 12:12 | #45

    Я пытался подсунув под доменное имя 2 ip поднять VPN. Не поднимается. Это единственная идея которая у меня была. Странно, в качестве интерфейса VPN можно выбрать группу адресов. Какой смысл было добавлять данную возможность? Может не доделали просто.

  42. chum
    26 Март 2014 в 12:23 | #46

    @Vladimir
    у меня от 1 провайдера идет три тунеля, от второго нет. Я пытался поднять резервные тунели, но сенс ругался на внутреннюю подсетку, думаю что в вашем случае как и в моем нужно делать vlan, и брать у провайдера l2 туннель, как это делается на цицке, но это только предположения

  43. 19 Июнь 2014 в 08:56 | #47

    У меня все заработало кстати на фаерволе нужно поставить any вместо tcp, у меня возникла проблема , с самого PFsense не пингуется никакая машина того офиса , подскажите в чем может быть проблема ?

  44. Олег
    11 Ноябрь 2014 в 09:54 | #48

    Приветствую!
    Прокатит ли такая схема,если внутренние локальные сети 2-х офисов имеют одинаковую адресацию?(одна и та же подсеть короче в 1 и 2 офисе)

    • chum
      14 Ноябрь 2014 в 16:01 | #49

      Думаю что нет, скорее всего сенс выкинет это как конфликт адресов. Хотя точно ответить не готов.

  45. chum
    14 Ноябрь 2014 в 16:00 | #50

    @Jahon Dehkanov
    Может быть icmp не разрешен в фаерволе?

  46. Viktor
    10 Декабрь 2015 в 13:08 | #51

    А если на удаленном шлюзе нет белого IP, могу я в Remote gateway указать 0.0.0.0, и на удаленном включить DPD ?

  47. chum
    10 Декабрь 2015 в 13:48 | #52

    @Viktor
    Тут я к сожалению не советник, никогда не встречался с НЕ белыми IP для таких случаев и с PfSense давно ушел. Все только в Ваших руках.

  1. Пока что нет уведомлений.

Current month ye@r day *


восемь + 7 =

Heads up! You are attempting to upload an invalid image. If saved, this image will not display with your comment.