praegune kellaaeg 25.04.2024 20:25:17
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
zaitz
Kreisi kasutaja
liitunud: 08.07.2003
|
30.06.2016 11:46:56
pfSense ja VPN subnettide ruutimine |
|
|
Hei,
testimiseks käib üks pfSense kast. Kasti on tekitatud kaks IPSec VPN tunnelit:
1. site-to-site /pfS-to-RV320/
2. Mobiilne klient st, kas läpakas Shrewsofti kliendiga või Android telefon
Mõlemad tunnelid toimivad ja liiklus käib mõlemas suunas, st. RV320 tagant pääseb pfSensele LAN'ile ligi ja vastupidi, samuti pääseb mobiilsest seadmest pfSense LAN'i. Probleem aga selles, et nende tunnelite taga olevad masinad üksteist ei näe. St. kui mobiilsest läpakast tahaks Cisco RV320 lani poolde pöörduda siis see ei õnnestu.
Viitsib keegi pfSensega paremini kodus olev AHV mind õigesse suunda suunata ?
|
|
tagasi üles |
|
|
karu
HV kasutaja
liitunud: 08.08.2002
|
30.06.2016 20:18:19
|
|
|
pfsensiga kursis ei ole, kuid kas RV320 teab mobiilse kliendi subneti pfsense vpn'i ruutida?
|
|
tagasi üles |
|
|
mank1
HV kasutaja
liitunud: 18.06.2003
|
30.06.2016 22:42:05
|
|
|
tulemüüri reegel VPN - to- VPN on tehtud ?
|
|
tagasi üles |
|
|
zaitz
Kreisi kasutaja
liitunud: 08.07.2003
|
01.07.2016 09:15:37
|
|
|
RV320 on staatiline route tehtud järgnevalt: dest: 192.168.111.0/24 (pfsenses määratud virtuaalne subnet mobile klientidele) GW. 192.168.0.1 (pfSense lokaalne IP, mis RV320 tagant ka kenasti lahendub), Hop count 2 (enne RV320 on veel 3G/4G ruuter) ja interface on WAN1. Peaks õige olema ?
Arvutis tegin route ADD 192.168.2.0 MASK 255.255.255.0 192.168.0.1 METRIC 2 IF 15
if 15 - shrewsofti virtual adapter
pfSenses on tehtud IPsec any to any pass reegel, sellest peaks piisama?
|
|
tagasi üles |
|
|
Tankistlol
HV vaatleja
liitunud: 09.11.2015
|
01.07.2016 09:46:29
|
|
|
conditional routing teha pfsensi? et kui ühendus tuleb mobile subnetist ja see otsib rv320 oma siis suunatakse rv320 tunnelisse?
miks mitte openvpn? installi pfsensile pakk ja tuld.. korralik lahendus ja ei pea eraldi kahte vpn-i tunnelit hostima.
openvpn-ga võid site-to-site ka teha.
ma ei tea mis see rv320 on aga openvpn lahendus võiks olla selline, et pfsensis on openvpn ja nii rv320 kui mobiilsed ühendavad sinna külge, sama tunneli piires pole vaja mingit routingu porri tegema hakata vaid lubad lihtsalt tunneli klientidel üksteist näha.
openvpn-i eelis on ka see, et saad asja 443 peale käima panna kuna siis tõenäoliselt ei jookse mobiilsed kliendid probleemi otsa kus neil suvalises kohas on ipseci jaoks liiga range fw piirang, mida sa kontrollida ei saa. (eeldusel, et sa sama ip pealt muidugi https-i ei hosti)
|
|
tagasi üles |
|
|
zaitz
Kreisi kasutaja
liitunud: 08.07.2003
|
05.07.2016 20:08:42
|
|
|
Sellepärast IPSec, et RV320 ei oska OVPN'i, õigupoolest lasi Cisco sellele karbile hiljuti OpenVPN funktsionaalsusega FW välja aga mingite bugide tõttu võeti reliis tagasi ja siiani vaikus... Muidu mängiks ilmselt jah OVPN'i peale...
Aga jah, said õieti aru mu mõttest.
Tankistlol kirjutas: |
conditional routing teha pfsensi? et kui ühendus tuleb mobile subnetist ja see otsib rv320 oma siis suunatakse rv320 tunnelisse?
miks mitte openvpn? installi pfsensile pakk ja tuld.. korralik lahendus ja ei pea eraldi kahte vpn-i tunnelit hostima.
openvpn-ga võid site-to-site ka teha.
ma ei tea mis see rv320 on aga openvpn lahendus võiks olla selline, et pfsensis on openvpn ja nii rv320 kui mobiilsed ühendavad sinna külge, sama tunneli piires pole vaja mingit routingu porri tegema hakata vaid lubad lihtsalt tunneli klientidel üksteist näha.
openvpn-i eelis on ka see, et saad asja 443 peale käima panna kuna siis tõenäoliselt ei jookse mobiilsed kliendid probleemi otsa kus neil suvalises kohas on ipseci jaoks liiga range fw piirang, mida sa kontrollida ei saa. (eeldusel, et sa sama ip pealt muidugi https-i ei hosti) |
|
|
tagasi üles |
|
|
snakefan
HV vaatleja
liitunud: 01.12.2003
|
10.08.2016 17:24:01
|
|
|
Eeldan, et juba leidsid lahenduse.
Aga asi käib järgenvalt
IPSEC tunnelisse lisad phase 2 mis käib teise otsa lani subneti ja OVPNI subneti vahel, seejärel lisad OVPN confi push route IPSEC tunneli pihta. Lisad vajalikud tulemüüri reegilid ja ongi kogu lugu.
|
|
tagasi üles |
|
|
|
lisa lemmikuks |
|
|
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|