Главная > Linux > PfSense настройка ipsec тунеля

PfSense настройка ipsec тунеля

 Как в PfSense настроить IPSEC тунель ?

  Как это сделать покажу на примере двух PfSense шлюзов. И так, заходим  раздел VPN - IPSEC, и ставим галочку Enable IPsec. Далее, в правой части окна нажимаем на кнопку в виде плюсика (add phase1 entry). В новом окне выставляем и заполняем следующие поля: Interface - выставляем WAN (т.е. внешний) Remote Gateway - IP адрес нашего второго удаленного шлюза (к примеру 111.111.111.111) Descrption - название нашего тунеля Authentication method - Mutual PSK Negotiation mode - main My identifier - наш IP адрес (my ip address) Peer identifier - Peer ip address Pre-Shared Key - ключ по которому будет идти проверка (с обоих сторон должен быть одинаков) Policy Generation - default Proposal Checking - default Encryption algorithm - чем шифруем (я взял DES) Hash algorithm - алгоритм для хеша (я выбрал MD5) DH key group - какой ключ использовать, я выбрал 1, можно и другие если устройство на другом конце поддерживает такой метод. NAT Traversal - enable (на всякий случай) Dead Peer Detection - галочку не ставим Все, жмем Save. Сам тунель с одной стороны мы настроили, теперь нужно внутри него сделать (если так можно выразиться) построить внутреннюю (локальную) сеть. Наша настройка выглядит следующим образом (в меню VPN - IPSEC) И теперь нам надо нажать на кнопку Show 1 Phase-2 entries, таблица развернется и будет выглядить следующим образом. Не пугайтесь, часть которая подчеркнута оранжевым цветом - у вас ее еще нет (я делал обзор с настроенного тунеля). Теперь жмем на кнопку с плюсом (обведена красным квадратом). В новом окне настраиваем следующие пункты: Mode - tunnel Local Network - lan subnet Remote Network - Type : network, Address: адрес локальной сети которая находится на другом конце (у меня это 192.168.150.0) Description - описание Protocol - ESP Encryption algorithms - только галочка на DES Hash algorithms - SHA1 PFS key group - off Lifetime - 28800 Вот и все, жмем Save и настраиваем наш Firewall, иначе тунель не поднимется. Выбираем Firewall - Rules - IPsec Жмем кнопку добавить (в виде крестика). В новом окне настраиваем правило: Action - Pass Interface - выбираем IPsec Protocol - любой (any) Source - Type: network, Address: локальный ip адрес нашей удаленной точки (192.168.150.0) Destination - Lan Subnet Ну и description. После нажатия кнопки Save, все точно так же, только с IP адреса нашего шлюза (а не удаленного) настраиваем на втором удаленном шлюзе. Как только все настроено, возможно понадобиться над "пинка", чтобы шлюзы поднялись. Заходим в меню Status - IPsec И жмем на кнопку в ввиде шестеренки со стрелочкой на против нашего тунеля, значек с желтого крестика, должен поменяться на зеленую стрелочку если все прошло успешно. Удачи.
1 звезда2 звезды3 звезды4 звезды5 звезд (1 votes, average: 5,00 out of 5)
Загрузка...
  1. Александр
    20 февраля 2013 в 15:51 | #1

    Настроил все поинструкции, но почемуто пингуются только шлюзы, компьютеры в удаленных сетях не пингуются. В чем может быть проблема? Куда копать?

  2. chum
    20 февраля 2013 в 19:42 | #2

    @Александр
    А какие у Вас а правила в разделе Firewall-Rules-IPsec ?

  3. Александр
    21 февраля 2013 в 05:22 | #3

    разрешил все для всех в правила в разделе Firewall-Rules-IPsec

  4. chum
    21 февраля 2013 в 06:21 | #4

    @Александр
    Есть возможность показать скрины rules’ов lan,wan и ipsec?

  5. 2 мая 2013 в 17:50 | #5

    Сделал как здесь написано, туннель поднимается, но связи между компами нет – пинги не проходят…

    • chum
      3 мая 2013 в 13:38 | #6

      Посмотрите внимательно на правила в фаерволе, правильно ли указаны подсети на пинг и вообще на прохождение трафика

  6. 4 мая 2013 в 17:29 | #7

    На файрволле всё разрешено. Прикладываю скрин. http://yadi.sk/d/emevb_Zm4Z-4B

  7. chum
    5 мая 2013 в 15:26 | #8

    @Sergey Куликов Сергей
    Попробуйте как вариант (конечно не совсем верно что у Вас все и вся) еще указать протокол не TCP, а все (*)

  8. 19 мая 2013 в 07:59 | #9

    Александр, объясните пожалуйста фразу “После нажатия кнопки Save, все точно так же, только с IP адреса нашего шлюза (а не удаленного) настраиваем на втором удаленном шлюзе”.

  9. chum
    19 мая 2013 в 20:24 | #10

    @Sergey Куликов Сергей
    имелось ввиду, настроить на втором шлюзе все по той же схеме только внешний айпи берется другой

  10. 23 мая 2013 в 18:52 | #11

    Александр, если всё сделать точь в точь, как Вы тут написали, то всё работает:) Прежде я делал по другой статье, где в качестве режима согласование использовался – Агрессивный, а в качестве алгоритма шифрования – 3DES. Так вот по такой схеме у меня туннель поднимается, а трафик из сети в сеть не ходит. Сделав всё точно как Вы написали, всё зашуршало:) Спасибо Вам за полезную статью!

  11. Роман
    25 мая 2013 в 17:45 | #12

    Как добавить интерфейс созданного туннеля IpSec?
    Хочу создать группу шлюзов (резервные маршруты).
    Когда создаю интерфейс, нужно выбрать “Network Port”. Среди них есть локалка, интернеты, туннели OpenVPN, PPTP, GRE. Но IpSec нет.

    • chum
      29 мая 2013 в 07:29 | #13

      Тоже искал, скорее всего (ну лично я так думаю), если используется один айпи то на него больше чем 1 ipsec повесить нельзя.

  12. Гыгы
    4 сентября 2013 в 11:26 | #14

    Большое спасибо за информацию, очень помогло. Настроил туннель между pfsense и ZyWALL USG 100.

    • chum
      4 сентября 2013 в 11:58 | #15

      Всегда пожалуйста, присылайте свои материалы, чтобы сделать этот мир проще 🙂

  13. leo
    4 декабря 2013 в 05:55 | #16

    Добрый день! Помогите разобраться, пожалуйста: Настроил туннель между pfsense и ZyWALL USG 20, но с подсети где pfsense в удаленной подсети пингуется только zywall, а с подсети где zywall удаленная подсеть не пингуется вовсе. В правилах обоих фаерволов все разрешено. Куда копать?

    • chum
      4 декабря 2013 в 06:05 | #17

      Добрый день. Только в файервол копать. Кидайте скрины будем пробовать разбираться.

  14. leo
    4 декабря 2013 в 06:40 | #18

    В скринах все так же, как у Вас, кроме адресов и ключа. Подозреваю, что проблема в pppoe-подключениях от Ростелекома с обеих сторон. Может ли это быть причиной?

  15. chum
    4 декабря 2013 в 06:58 | #19

    @leo
    Я конечно не профи, но вообще IpSec ложится не зависимо от того через что подключен интернет. Это некая “труба” которая работает сама. Возможно есть какие то правила еще которые влияют на прохождени трафика?

  16. leo
  17. chum
    5 декабря 2013 в 06:21 | #21

    @leo
    А файервол в зикселе?
    Я когда настраивал IpSec с Zywall 5e и других моделях, у меня были затыки на ихних фаерволах, возможно там что то забыли?

  18. leo
    5 декабря 2013 в 08:19 | #22

    @chum
    Зиксел с нуля настраивался, отключение фаервола на нем ситуацию не меняет
    Буду пробовать с обеих сторон pfsense

  19. chum
    5 декабря 2013 в 09:36 | #23

    @leo
    У меня под рукой зикселя нет, попробую на днях посмотреть конфигурацию в соседнем офисе, у меня работает все на ура и именно зиксель+пфсенс

  20. chum
    10 декабря 2013 в 06:12 | #24

    @leo
    Посмотрел настройки на своем зиксель…
    Конечно маловероятно но все же, есть галка забавная, звать ее “NAT traversal” – если она не включена, включите ее.

  21. leo
    12 декабря 2013 в 06:11 | #25

    NAT traversal включена с обеих сторон

  22. leo
    23 декабря 2013 в 10:21 | #26

    поднял vpn туннель между двумя pfsense, но через некоторое время он падает (сутки-двое, не засекал). Помогает выключение/включение туннеля. Подскажите, куда смотреть?

  23. chum
    23 декабря 2013 в 10:26 | #27

    @leo
    А у Вас случайно не два канала интернета? На одном из “сенсов” ?

  24. leo
    23 декабря 2013 в 23:41 | #28

    по одному с обеих сторон. Вообще схемы подключения в обоих офисах идентичны

  25. chum
    24 декабря 2013 в 13:38 | #29

    @leo
    И в логах нет ничего интересного? Пробовали ставить галочки чтобы они друг друга пинали если происходит разрыв?

  26. leo
    24 декабря 2013 в 23:52 | #30

    В логах вот что:
    Dec 25 09:46:38 racoon: [gamburg]: INFO: IPsec-SA request for 2.2.2.2 queued due to no phase1 found.
    Dec 25 09:46:38 racoon: [gamburg]: INFO: initiate new phase 1 negotiation: 1.1.1.1[500]2.2.2.2[500]
    Dec 25 09:46:38 racoon: INFO: begin Identity Protection mode.
    Dec 25 09:46:38 racoon: ERROR: phase1 negotiation failed due to send error. 14801c004ad64230:0000000000000000
    Dec 25 09:46:38 racoon: ERROR: failed to begin ipsec sa negotication.

    О каких галочках речь? Даже если вручную пнуть (connect vpn) не помогает. Коннектится только при выключении/включении туннеля с одной стороны.

  27. chum
    25 декабря 2013 в 08:41 | #31

    @leo
    Дайте скрин phase1 глянуть

  28. leo
    26 декабря 2013 в 23:36 | #32

    Как я уже писал, настройки vpn с обеих сторон такие же, как на ваших скринах.
    Заметил, что vpn-туннель отваливается в момент, когда кто-нибудь подключается с домашнего компьютера к vpn по pptp, который настроен на одном pfsense:
    Dec 27 08:37:37 racoon: WARNING: unrecognized route message with rtm_type: 4
    Dec 27 08:37:37 racoon: WARNING: unrecognized route message with rtm_type: 4
    Dec 27 08:37:37 racoon: WARNING: unrecognized route message with rtm_type: 4
    Dec 27 08:48:00 racoon: WARNING: unrecognized route message with rtm_type: 4
    Dec 27 08:48:00 racoon: WARNING: unrecognized route message with rtm_type: 4
    Dec 27 08:48:30 racoon: [2.2.2.2] INFO: DPD: remote (ISAKMP-SA spi=9834b9c0dbef26aa:13e5e9a3606716ed) seems to be dead.
    Dec 27 08:48:30 racoon: INFO: purging ISAKMP-SA spi=9834b9c0dbef26aa:13e5e9a3606716ed.
    Dec 27 08:48:30 racoon: INFO: purged IPsec-SA spi=25006899.
    Dec 27 08:48:30 racoon: INFO: purged IPsec-SA spi=224811452.
    Dec 27 08:48:30 racoon: INFO: purged ISAKMP-SA spi=9834b9c0dbef26aa:13e5e9a3606716ed.
    Dec 27 08:48:31 racoon: [gamburg]: INFO: ISAKMP-SA deleted 1.1.1.1[500]-2.2.2.2[500] spi:9834b9c0dbef26aa:13e5e9a3606716ed
    Dec 27 08:48:42 racoon: [gamburg]: INFO: IPsec-SA request for 2.2.2.2 queued due to no phase1 found.
    Dec 27 08:48:42 racoon: [gamburg]: INFO: initiate new phase 1 negotiation: 1.1.1.1[500]2.2.2.2[500]
    Dec 27 08:48:42 racoon: INFO: begin Aggressive mode.
    Dec 27 08:48:42 racoon: ERROR: phase1 negotiation failed due to send error. 97545596bb2843da:0000000000000000
    Dec 27 08:48:42 racoon: ERROR: failed to begin ipsec sa negotication.

    Соответственно в 08:37:37 было подключение pptp, в 08:48:00 отключение pptp, после которого vpn-туннель упал

  29. leo
    26 декабря 2013 в 23:48 | #33

    Aggressive или main mode – ситуации не меняет

  30. chum
    27 декабря 2013 в 10:45 | #34

    @leo
    Очень странно конечно, может быть каким то образом пересекаются подсети? (бред конечно но все же).

    У меня на ipsec стоит 192.168.120.0, на PPTP стоит 192.168.121.0 – ну это так к слову. Ничего не отключается, народ работает и так и так.

    Может быть еще конечно правила фаервола?

  31. leo
    27 декабря 2013 в 11:11 | #35

    А pptp юзеры должны быть в другой подсети? 🙂
    Мониторим

  32. leo
    29 декабря 2013 в 09:11 | #36

    Не помогло. Упал туннель. Подозреваю, что опять при отключении pptp юзера, но логи уже затерлись. Посмотрю в след раз

  33. leo
    29 декабря 2013 в 09:20 | #37

    в фаерволе pptp одна строка со всеми разрешениями

  34. chum
    29 декабря 2013 в 11:32 | #38

    @leo
    Так может в этом и есть касяк. Пропишите в фаерволе в pptp и в ipsec для каждой свои правила.

  35. chum
    29 декабря 2013 в 11:40 | #39

    @leo
    А на счет того чтобы шлюзы друг друга пинали, попробуйте включить DPD. Скрин прикрепил.

  36. leo
    29 декабря 2013 в 22:10 | #40

    прописал в правилах ipsec и pptp источниками соответствующие подсети, включил DPD, мониторим

  37. leo
    14 января 2014 в 05:22 | #41

    Вобщем, ничего не помогло, при подключении/отключении pptp юзера vpn-туннель падал. Перешел на l2tp, все ок.

  38. Dmitriy
    24 января 2014 в 05:27 | #42

    Есть проблема. Туннель от Cisco IPSec gre.
    Стоит пробовать создать клиента на PfSense

  39. Vladimir
    26 марта 2014 в 11:50 | #43

    Добрый день! Подскажите пожалуйста есть ли возможность создать VPN тонель между двумя pfsense если с каждой стороны используются 2 канала разных провайдеров (основной+резервный). Т.е. насколько я понял есть возможность использовать в настройке VPN в качестве интерфейса группу адресов. А вот есть ли возможность в качестве Remote gateway использовать группу адресов ( а точнее 2 адреса) непонятно.

  40. chum
    26 марта 2014 в 11:58 | #44

    @Vladimir
    Я тоже бился над этим вопросом, может быть это и реально сделать, но так чтобы нет мануала и самому – мне искать надоело. Если найдете решение – сообщите. У меня только два провайдера и если один падает то идет переключение на другой но при этом естественно IPSEC падает. Проблему пока не решил.

  41. Vladimir
    26 марта 2014 в 12:12 | #45

    Я пытался подсунув под доменное имя 2 ip поднять VPN. Не поднимается. Это единственная идея которая у меня была. Странно, в качестве интерфейса VPN можно выбрать группу адресов. Какой смысл было добавлять данную возможность? Может не доделали просто.

  42. chum
    26 марта 2014 в 12:23 | #46

    @Vladimir
    у меня от 1 провайдера идет три тунеля, от второго нет. Я пытался поднять резервные тунели, но сенс ругался на внутреннюю подсетку, думаю что в вашем случае как и в моем нужно делать vlan, и брать у провайдера l2 туннель, как это делается на цицке, но это только предположения

  43. 19 июня 2014 в 08:56 | #47

    У меня все заработало кстати на фаерволе нужно поставить any вместо tcp, у меня возникла проблема , с самого PFsense не пингуется никакая машина того офиса , подскажите в чем может быть проблема ?

  44. Олег
    11 ноября 2014 в 09:54 | #48

    Приветствую!
    Прокатит ли такая схема,если внутренние локальные сети 2-х офисов имеют одинаковую адресацию?(одна и та же подсеть короче в 1 и 2 офисе)

    • chum
      14 ноября 2014 в 16:01 | #49

      Думаю что нет, скорее всего сенс выкинет это как конфликт адресов. Хотя точно ответить не готов.

  45. chum
    14 ноября 2014 в 16:00 | #50

    @Jahon Dehkanov
    Может быть icmp не разрешен в фаерволе?

  46. Viktor
    10 декабря 2015 в 13:08 | #51

    А если на удаленном шлюзе нет белого IP, могу я в Remote gateway указать 0.0.0.0, и на удаленном включить DPD ?

  47. chum
    10 декабря 2015 в 13:48 | #52

    @Viktor
    Тут я к сожалению не советник, никогда не встречался с НЕ белыми IP для таких случаев и с PfSense давно ушел. Все только в Ваших руках.

  1. Пока что нет уведомлений.


пять + 4 =

Heads up! You are attempting to upload an invalid image. If saved, this image will not display with your comment.