04 июля 2020, 09:02

Цитата дня:

Никогда не спорьте с дураком - люди могут не заметить между вами разницы.


Последние сообщения

Страницы1 2 3 ... 10
1
VPN и маршуртизация / Re: pfSense OpenVPN vs IPSec, ...
Последний ответ от Уваров А.С. - 02 июля 2020, 12:55
Правила NAT там всё равно автоматические, какие - то тупые, сами видели, на скриншотах.
И на тех же скриншотах вверху виден переключатель, одна из позиций которого - не создавать автоматических правил.

но я не знаю, сколько раз я писал, что с GRE на FreeBSD есть баг. А у меня ни времени, ни желания нет разбираться с этим багом, который не к чести разработчиков так и не исправили.
Ссылку на незакрытый баг дадите? На багтрекере.

А вы попробуйте ради интереса сами развернуть, на виртуальных машинах, только на pfSense. Я очень удивлюсь, если у вас получится.
Вы не единственный пользователь pfSence и протоколу GRE лет в обед и он просто работает. У меня нет ни времени не желания возиться с pfSence, но беглый поиск в Гугле проблем не находит. В Linux и на Mikrotik GRE работает без лишних к нему вопросов.

Вообще ваши действия напоминают мне метания в стиле: не забивает гвозди молоток в красной ручкой, возьму вон тот с зеленой.

По хорошему, если выбрали какой-то продукт, то нужно изучать его до упора. А завтра у вас с OPNSense что-то не выйдет, куда побежите?

То есть для административного корпуса 0.0.0.0, а для остальных 1.1.1.1?
Зачем? Все в 1.1.1.1, магистральную область просто не трогаете.

А что плохого в пароле, на физическом доступе? Кроме нас там ещё персонал ходит, не хотелось бы, чтобы кто нибудь поигрался с настройками.
Если у меня есть физический доступ к железу с возможностью вставить флешку и загрузиться с нее, можете считать что никаких паролей у вас нет.
2
VPN и маршуртизация / Re: pfSense OpenVPN vs IPSec, ...
Последний ответ от Призрак - 02 июля 2020, 09:47
От перемены слагаемых... Весь вопрос именно в уровне владения системой. Насколько я видел на скриншотах, в PFSense автоматические правила тоже легко выключаются.
Правила NAT там всё равно автоматические, какие - то тупые, сами видели, на скриншотах.

Мда... GRE - это классика, простой и надежный как табуретка, что там "плохого" просто затрудняюсь представить.
А вы попробуйте ради интереса сами развернуть, на виртуальных машинах, только на pfSense. Я очень удивлюсь, если у вас получится. Может на линуксе это прокатывает, но я не знаю, сколько раз я писал, что с GRE на FreeBSD есть баг. А у меня ни времени, ни желания нет разбираться с этим багом, который не к чести разработчиков так и не исправили.

А GRE у нас давно не маршрутизируемый?
Не нужно цепляться к словам, я просто назвал один из режимов работы IPsec туннеля, а вы сразу так.

Собственно как и у GRE.
Он создаётся автоматически и сразу доступен, когда как для GRE приходится его создавать руками, ну на pfSense не пробовал создать IPsec VTI.

Мое мнение - вам хватит и одной области, даже магистральной. Но если делать по уму, то сделайте еще область и поместите туда свои сети.
То есть для административного корпуса 0.0.0.0, а для остальных 1.1.1.1?

При физическом доступе к системе можете тушить свет и сливать воду.
Честно говоря, это я не понял. Если есть доступ по SSH, то можно использовать его. А что плохого в пароле, на физическом доступе? Кроме нас там ещё персонал ходит, не хотелось бы, чтобы кто нибудь поигрался с настройками.
3
VPN и маршуртизация / Re: pfSense OpenVPN vs IPSec, ...
Последний ответ от Уваров А.С. - 02 июля 2020, 02:39
сменил PFSense на OPNSense, эта система немного сложнее, но есть одно но - она не формирует дурацких автоматических правил
От перемены слагаемых... Весь вопрос именно в уровне владения системой. Насколько я видел на скриншотах, в PFSense автоматические правила тоже легко выключаются.

Я сменил протокол GRE, я про него много плохого читал, в том числе разговаривал с человеком, который работает с микротиками. Он мне ответил, что безобразный и глючный протокол, от использования которого он отказался.
Мда... GRE - это классика, простой и надежный как табуретка, что там "плохого" просто затрудняюсь представить.

Я сменил на IPsec VTI. То есть на маршрутизируемый тоннель, а это о чём то уже говорит, поверьте.
А GRE у нас давно не маршрутизируемый?

При этом создаётся сам отдельный интерфейс
Собственно как и у GRE.

Конечно, вы можете мне сказать, что плохому танцору мешает кое что, на это я отвечу, что на вкус и цвет товарищей нет.
Здесь соглашусь.

Теперь, я думаю, настало время разобраться с динамической маршрутизацией. Кто то мне обещал, что посоветует про area, в какие совать мне филиалы и зачем.
Мое мнение - вам хватит и одной области, даже магистральной. Но если делать по уму, то сделайте еще область и поместите туда свои сети.

Это даёт гарантию того, что даже при физическом доступе к шлюзу войти в систему из консоли будет невозможно, без пароля. А это ещё один бонус, к безопасности.
При физическом доступе к системе можете тушить свет и сливать воду.

4
VPN и маршуртизация / Re: pfSense OpenVPN vs IPSec, ...
Последний ответ от Призрак - 01 июля 2020, 22:48
У меня получилось, наконец то! Только для этого мне пришлось пока сделать три условия:

1. Я сменил PFSense на OPNSense, эта система немного сложнее, но есть одно но - она не формирует дурацких автоматических правил, точнее у меня есть возможность их отключить (например, при создании IPSec тоннеля в расширенных настройках я могу поставить галочку "не применять автоматические правила"!) и писать самому, как и положено.

2. Я сменил протокол GRE, я про него много плохого читал, в том числе разговаривал с человеком, который работает с микротиками. Он мне ответил, что безобразный и глючный протокол, от использования которого он отказался. Я сменил на IPsec VTI. То есть на маршрутизируемый тоннель, а это о чём то уже говорит, поверьте. При этом создаётся сам отдельный интерфейс. Конечно, вы можете мне сказать, что плохому танцору мешает кое что, на это я отвечу, что на вкус и цвет товарищей нет.

3. Я пока что создал статические правила и ввёл вручную шлюзы. Трафик стал ходить, в ту и в другую сторону, всё отлично. Вот туториал.

https://wiki.opnsense.org/manual/how-tos/ipsec-s2s-route.html

Теперь, я думаю, настало время разобраться с динамической маршрутизацией. Кто то мне обещал, что посоветует про area, в какие совать мне филиалы и зачем. А также я планирую снова использовать пакет frr, к quagga OSPF у меня доверие пропало.

Ещё одно преимущество OPNSense в том, что там не голые настройки, в консоли, в отличие от PFSense, нужно вводить пароль. Это даёт гарантию того, что даже при физическом доступе к шлюзу войти в систему из консоли будет невозможно, без пароля. А это ещё один бонус, к безопасности.
5
VPN и маршуртизация / Re: pfSense OpenVPN vs IPSec, ...
Последний ответ от Уваров А.С. - 25 июня 2020, 20:35
Я могу убрать автоматические правила
Это нужно было сделать еще давно.
6
VPN и маршуртизация / Re: pfSense OpenVPN vs IPSec, ...
Последний ответ от Призрак - 25 июня 2020, 20:21
Не понял вопроса. Я могу убрать автоматические правила у NAT, но ведь что-то же там надо будет прописано.
7
VPN и маршуртизация / Re: pfSense OpenVPN vs IPSec, ...
Последний ответ от ival - 25 июня 2020, 09:25
Вы NAT с gRE убрали??
8
VPN и маршуртизация / Re: pfSense OpenVPN vs IPSec, ...
Последний ответ от Призрак - 24 июня 2020, 21:23
В общем, надоело мне. Делал по этому видео, в точности, правда, маршрутизация у меня динамическая.

https://www.youtube.com/watch?v=YPYFcya3Qls&t=693s

Всё равно не завелось. Хоть что делай, хоть башкой бейся об стол, всё равно ничего не получается. Уничтожил всё, что создавал, дома. Все машины удалил, психанув. Всё, нет больше моего труда.

Если в программном продукте ошибка, страдать должен я, как всегда. Биться вечерами, ночами, ничего не получается и ничего не работает. Всё, я думаю, просто сделаю OpenVPN и всё, как и делал. Он, по крайней мере, работает хорошо.
9
VPN и маршуртизация / Re: pfSense OpenVPN vs IPSec, ...
Последний ответ от Призрак - 23 июня 2020, 21:21
Правила проверил, разрешено всё и всем, на GRE интерфейсах. Обидно, что ничего не получается, я уверен, что уж на этот раз я делаю всё правильно. Если уж я везде (!!!) прописываю разрешающие правила, то брандмауэр должен по всякому разблокировать пакеты, а он не разблокирует. Только при отключении брандмауэра пакеты начинают идти. Значит это 100% баг оси.
10
VPN и маршуртизация / Re: pfSense OpenVPN vs IPSec, ...
Последний ответ от Призрак - 23 июня 2020, 15:30
Я переделал их, уже, разрешил всё и всем, на GRE. Эффект тот же. Хорошо, вечером скину.
Страницы1 2 3 ... 10