Avaleht
uus teema   vasta Hinnavaatlus »  Serverid / Andmemassiivid / Tulemüürid »  pfSense ja VPN subnettide ruutimine märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
Hinnavaatlus :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale. Teata moderaatorile
otsing:  
zaitz
Kreisi kasutaja
zaitz

liitunud: 08.07.2003




sõnum 30.06.2016 10:46:56 pfSense ja VPN subnettide ruutimine vasta tsitaadiga

Hei,

testimiseks käib üks pfSense kast. Kasti on tekitatud kaks IPSec VPN tunnelit:
1. site-to-site /pfS-to-RV320/
2. Mobiilne klient st, kas läpakas Shrewsofti kliendiga või Android telefon

Mõlemad tunnelid toimivad ja liiklus käib mõlemas suunas, st. RV320 tagant pääseb pfSensele LAN'ile ligi ja vastupidi, samuti pääseb mobiilsest seadmest pfSense LAN'i. Probleem aga selles, et nende tunnelite taga olevad masinad üksteist ei näe. St. kui mobiilsest läpakast tahaks Cisco RV320 lani poolde pöörduda siis see ei õnnestu.
Viitsib keegi pfSensega paremini kodus olev AHV mind õigesse suunda suunata ?
tagasi üles
vaata kasutaja infot saada privaatsõnum
karu
HV kasutaja

liitunud: 07.08.2002




sõnum 30.06.2016 19:18:19 vasta tsitaadiga

pfsensiga kursis ei ole, kuid kas RV320 teab mobiilse kliendi subneti pfsense vpn'i ruutida?
tagasi üles
vaata kasutaja infot saada privaatsõnum
mank1
HV kasutaja
mank1

liitunud: 18.06.2003




sõnum 30.06.2016 21:42:05 vasta tsitaadiga

tulemüüri reegel VPN - to- VPN on tehtud ?
tagasi üles
vaata kasutaja infot saada privaatsõnum
zaitz
Kreisi kasutaja
zaitz

liitunud: 08.07.2003




sõnum 01.07.2016 08:15:37 vasta tsitaadiga

RV320 on staatiline route tehtud järgnevalt: dest: 192.168.111.0/24 (pfsenses määratud virtuaalne subnet mobile klientidele) GW. 192.168.0.1 (pfSense lokaalne IP, mis RV320 tagant ka kenasti lahendub), Hop count 2 (enne RV320 on veel 3G/4G ruuter) ja interface on WAN1. Peaks õige olema ?
Arvutis tegin route ADD 192.168.2.0 MASK 255.255.255.0 192.168.0.1 METRIC 2 IF 15
if 15 - shrewsofti virtual adapter

pfSenses on tehtud IPsec any to any pass reegel, sellest peaks piisama?
tagasi üles
vaata kasutaja infot saada privaatsõnum
Tankistlol
HV vaatleja

liitunud: 09.11.2015




sõnum 01.07.2016 08:46:29 vasta tsitaadiga

conditional routing teha pfsensi? et kui ühendus tuleb mobile subnetist ja see otsib rv320 oma siis suunatakse rv320 tunnelisse?


miks mitte openvpn? installi pfsensile pakk ja tuld.. korralik lahendus ja ei pea eraldi kahte vpn-i tunnelit hostima.
openvpn-ga võid site-to-site ka teha.

ma ei tea mis see rv320 on aga openvpn lahendus võiks olla selline, et pfsensis on openvpn ja nii rv320 kui mobiilsed ühendavad sinna külge, sama tunneli piires pole vaja mingit routingu porri tegema hakata vaid lubad lihtsalt tunneli klientidel üksteist näha.
openvpn-i eelis on ka see, et saad asja 443 peale käima panna kuna siis tõenäoliselt ei jookse mobiilsed kliendid probleemi otsa kus neil suvalises kohas on ipseci jaoks liiga range fw piirang, mida sa kontrollida ei saa. (eeldusel, et sa sama ip pealt muidugi https-i ei hosti)
tagasi üles
vaata kasutaja infot saada privaatsõnum
zaitz
Kreisi kasutaja
zaitz

liitunud: 08.07.2003




sõnum 05.07.2016 19:08:42 vasta tsitaadiga

Sellepärast IPSec, et RV320 ei oska OVPN'i, õigupoolest lasi Cisco sellele karbile hiljuti OpenVPN funktsionaalsusega FW välja aga mingite bugide tõttu võeti reliis tagasi ja siiani vaikus... Muidu mängiks ilmselt jah OVPN'i peale...
Aga jah, said õieti aru mu mõttest.


Tankistlol kirjutas:
conditional routing teha pfsensi? et kui ühendus tuleb mobile subnetist ja see otsib rv320 oma siis suunatakse rv320 tunnelisse?


miks mitte openvpn? installi pfsensile pakk ja tuld.. korralik lahendus ja ei pea eraldi kahte vpn-i tunnelit hostima.
openvpn-ga võid site-to-site ka teha.

ma ei tea mis see rv320 on aga openvpn lahendus võiks olla selline, et pfsensis on openvpn ja nii rv320 kui mobiilsed ühendavad sinna külge, sama tunneli piires pole vaja mingit routingu porri tegema hakata vaid lubad lihtsalt tunneli klientidel üksteist näha.
openvpn-i eelis on ka see, et saad asja 443 peale käima panna kuna siis tõenäoliselt ei jookse mobiilsed kliendid probleemi otsa kus neil suvalises kohas on ipseci jaoks liiga range fw piirang, mida sa kontrollida ei saa. (eeldusel, et sa sama ip pealt muidugi https-i ei hosti)
tagasi üles
vaata kasutaja infot saada privaatsõnum
snakefan
HV vaatleja
snakefan

liitunud: 01.12.2003




sõnum 10.08.2016 16:24:01 vasta tsitaadiga

Eeldan, et juba leidsid lahenduse.
Aga asi käib järgenvalt

IPSEC tunnelisse lisad phase 2 mis käib teise otsa lani subneti ja OVPNI subneti vahel, seejärel lisad OVPN confi push route IPSEC tunneli pihta. Lisad vajalikud tulemüüri reegilid ja ongi kogu lugu.
tagasi üles
vaata kasutaja infot saada privaatsõnum
näita postitusi alates eelmisest:   
uus teema   vasta Hinnavaatlus »  Serverid / Andmemassiivid / Tulemüürid »  pfSense ja VPN subnettide ruutimine
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.