12 июля 2020, 13:08

Цитата дня:

Невежество чаще рождает уверенность, нежели знание. Чарлз Дарвин


pfSense OpenVPN vs IPSec, проблема выбора.

Автор Призрак, 10 июня 2020, 10:54

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

Призрак

#35
18 июня 2020, 20:12 Последнее редактирование: 18 июня 2020, 20:31 от Призрак
Что касается сети, делать буду так, как во вложении.

Что же касается трафика между серыми сетями в тестовом полигоне, я в полнейшей растерянности. Не знаю уже, что и делать. Дело в том, что я поставил такой эксперимент - только когда я выключал сетевой экран на обоих шлюзах, Gateway1 и Gateway2 командой

pfctl -d

То трафик начинал идти, аналогично и с Gateway3. Я сильно подозреваю, что там надо NAT настраивать. Так как когда я отключаю брандмауэр отключается и NAT.

Подтверждением тому служит то, что я во все абсолютно интерфейсы добавлял правила, ни в какую пакеты всё равно не идут, связи нет.

Таблицу NAT извините, что снимками экрана, иначе невозможно, там ещё и опции. Наверное, надо мне и это ещё как то настроить.

Пробовал NAT менять, опять разрешающие правила везде напихал, ни черта не выходит. Достало уже, честное слово. Если он GRE пропускает, с правилом, то какого фига он вообще пакеты не пропускает, в серую сетку? Журналы тупорылые, только на WAN интерфейсе показывает, что заблокировал, всё не то, на остальных молчок. Как так диагностику делать, не понимаю.
Для кого то депрессия и тоска это не просто состояния, это стиль жизни...

Уваров А.С.

NAT к маршрутизации между сетями никакого отношения не имеет. У вас явно проблемы с брандмауэром, насколько я понял, у вас там какие-то автоматические правила используются, зачем?

Как так диагностику делать, не понимаю
Прочитать документацию по брандмауэру во FreeBSD. По этой системе ничего не подскажу вообще.


ival

#37
18 июня 2020, 21:25 Последнее редактирование: 18 июня 2020, 21:28 от ival
что такое gtog1?
Сделайте скриншот правил файрвала, может по скриншоту понять удасться. По тому что консольные правила которые вы скинули для меня темный лес.

Призрак

1. GTOG2 это интерфейс GRE на Gateway1 в сторону Gateway2

2. GTOG3 это интерфейс GRE на Gateway1 в сторону Gateway3

3. GTOG1 это интерфейс GRE на Gateway2 в сторону Gateway1

4. GTOG1 это интерфейс GRE на Gateway3 в сторону Gateway1

Как по схеме. Правила во вложении.

Насчёт автоматических правил это не ко мне, к разработчикам. Главное выключаю сетевой экран, связь есть. Включаю, связи нет. Шайтан. Было бы что понятно, а так вообще глухо всё.
Для кого то депрессия и тоска это не просто состояния, это стиль жизни...

Уваров А.С.

Там вообще то переключатель вверху есть и стоит он именно на создании автоматических правил.

Призрак

#40
18 июня 2020, 22:07 Последнее редактирование: 18 июня 2020, 22:11 от Призрак
По умолчанию так и есть, как раз после установки. Я такой не ставил. А вот что пишет акула, на клиенте.
Для кого то депрессия и тоска это не просто состояния, это стиль жизни...

Призрак

Есть же вроде правила, которые разрешают из одной сети в другую. Даже есть соответствующие правила. Или я ошибаюсь?
Для кого то депрессия и тоска это не просто состояния, это стиль жизни...

ival

#42
18 июня 2020, 22:42 Последнее редактирование: 18 июня 2020, 22:47 от ival
Коллеги я конечно не силён в pfsence, может у него своя логика, НО
Gre не должен натить, он вообще может быть IP address unnumbered. Чем он по вашему тогда пакет накрывать будет? Пустотой? Натить должен только wan

По архивным вложения завтра посмотрю, отпишу.

Уваров А.С.

Согласен, NAT должен быть только на WAN, для доступа клиентов сети в интернет. Для маршрутизации сетей NAT не нужен.

ival

#44
19 июня 2020, 08:50 Последнее редактирование: 19 июня 2020, 08:53 от ival
Как по мне. На GRE должно быть any to any
В LAN у вас нет правил вообще, дефолтное правило разрешать из сети LAN куда угодно.
А где обратное правило для LAN сетей которые находятся за другими GW?

Призрак

На GRE сделаю тогда any to any.

В LAN у вас нет правил вообще, дефолтное правило разрешать из сети LAN куда угодно.
Тем не менее, я добавлял туда дополнительное правило. Не прокатывает.

где обратное правило для LAN сетей которые находятся за другими GW?
Не понимаю, что вы имеете в виду. Какое обратное правило. Если там есть разрешить всё и всем, куда угодно и откуда угодно. Это дефолтовые правила. И куда его запихать.

Для кого то депрессия и тоска это не просто состояния, это стиль жизни...

ival

#46
19 июня 2020, 12:31 Последнее редактирование: 19 июня 2020, 12:38 от ival
Не понимаю, что вы имеете в виду. Какое обратное правило. Если там есть разрешить всё и всем, куда угодно и откуда угодно. Это дефолтовые правила. И куда его запихать.
На LAN интерфейск у вас нет правила ВСЕМ ВСЕ.
У вас есть правило разрешающие по протоколу IP локальным сетям интерфейса GW ходить везде
И есть правило отовсюду разрешать доступ к 80 порту LAN интерфейсу GW (например к 192.168.5.1)
Но нет правила с локальных сетей расположенных за соседними GW ходить в сети LAN net

Например на GW 1 по логике у вас должно быть правило

Protocol IPv4
Source 192.168.6.0/24 192.168.7.0/24
Port *
Destination LAN net
Port *
Gateway *





Призрак

К бестолку. Ничего не помогает. Я застрял. Правила все выставил, как мне указали. Ничего.
Для кого то депрессия и тоска это не просто состояния, это стиль жизни...

Уваров А.С.

У вас там в правилах какая-то дичь. Выключите автоматическое формирование правил, сделайте все руками.

IPsec не трогайте вообще, это транспорт. GRE - можно всем и везде. Это магистраль, фильтровать ее нет смысла.

Из локалки извне - можно всем. Извне в локалку можно ESTABLISHED, RELATED (это первым правилом), потом правила для доступа в локалку из других ваших сетей. Все остальное снаружи внутрь запретить.

При этом не путайте транзитный и входящий трафик. Первый идет от одного интерфейса роутера к другому, второй предназначен ему самому.

ival

К бестолку. Ничего не помогает. Я застрял. Правила все выставил, как мне указали. Ничего.
C интерфейсов GRE покажите правила

Призрак

#50
23 июня 2020, 10:38 Последнее редактирование: 23 июня 2020, 10:43 от Призрак
C интерфейсов GRE покажите правила
Там, во вложении они есть, 38 пост. Начинаются на GRE. Где я скидывал все правила.

Попробовал VMWare Player, никак не получается, то же самое.

И есть проблемы, которые разработчики FreeBSD не удосужились исправить, до сих пор. Это очень печально. Система эта погибает, из года в год. Вот, подкинули мне две ссылки.

https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=226411

https://redmine.pfsense.org/issues/4479

Вот ещё, масло в огонь.

https://www.linux.org.ru/forum/talks/13985603

Я сейчас пока обратил внимание на Linux IPFire, попробую, что из этого получится. Но и это не забываю. Может подскажете, что по этим ссылкам делать?
Для кого то депрессия и тоска это не просто состояния, это стиль жизни...

ival

Там, во вложении они есть, 38 пост. Начинаются на GRE. Где я скидывал все правила.
Вам после 38 поста написали переделать правила на GRE

Призрак

#52
23 июня 2020, 15:30 Последнее редактирование: 23 июня 2020, 15:37 от Призрак
Я переделал их, уже, разрешил всё и всем, на GRE. Эффект тот же. Хорошо, вечером скину.
Для кого то депрессия и тоска это не просто состояния, это стиль жизни...

Призрак

Правила проверил, разрешено всё и всем, на GRE интерфейсах. Обидно, что ничего не получается, я уверен, что уж на этот раз я делаю всё правильно. Если уж я везде (!!!) прописываю разрешающие правила, то брандмауэр должен по всякому разблокировать пакеты, а он не разблокирует. Только при отключении брандмауэра пакеты начинают идти. Значит это 100% баг оси.
Для кого то депрессия и тоска это не просто состояния, это стиль жизни...

Призрак

В общем, надоело мне. Делал по этому видео, в точности, правда, маршрутизация у меня динамическая.

https://www.youtube.com/watch?v=YPYFcya3Qls&t=693s

Всё равно не завелось. Хоть что делай, хоть башкой бейся об стол, всё равно ничего не получается. Уничтожил всё, что создавал, дома. Все машины удалил, психанув. Всё, нет больше моего труда.

Если в программном продукте ошибка, страдать должен я, как всегда. Биться вечерами, ночами, ничего не получается и ничего не работает. Всё, я думаю, просто сделаю OpenVPN и всё, как и делал. Он, по крайней мере, работает хорошо.
Для кого то депрессия и тоска это не просто состояния, это стиль жизни...

ival

Вы NAT с gRE убрали??

Призрак

Не понял вопроса. Я могу убрать автоматические правила у NAT, но ведь что-то же там надо будет прописано.
Для кого то депрессия и тоска это не просто состояния, это стиль жизни...

Уваров А.С.

Я могу убрать автоматические правила
Это нужно было сделать еще давно.

Призрак

#58
01 июля 2020, 22:48 Последнее редактирование: 01 июля 2020, 22:51 от Призрак
У меня получилось, наконец то! Только для этого мне пришлось пока сделать три условия:

1. Я сменил PFSense на OPNSense, эта система немного сложнее, но есть одно но - она не формирует дурацких автоматических правил, точнее у меня есть возможность их отключить (например, при создании IPSec тоннеля в расширенных настройках я могу поставить галочку "не применять автоматические правила"!) и писать самому, как и положено.

2. Я сменил протокол GRE, я про него много плохого читал, в том числе разговаривал с человеком, который работает с микротиками. Он мне ответил, что безобразный и глючный протокол, от использования которого он отказался. Я сменил на IPsec VTI. То есть на маршрутизируемый тоннель, а это о чём то уже говорит, поверьте. При этом создаётся сам отдельный интерфейс. Конечно, вы можете мне сказать, что плохому танцору мешает кое что, на это я отвечу, что на вкус и цвет товарищей нет.

3. Я пока что создал статические правила и ввёл вручную шлюзы. Трафик стал ходить, в ту и в другую сторону, всё отлично. Вот туториал.

https://wiki.opnsense.org/manual/how-tos/ipsec-s2s-route.html

Теперь, я думаю, настало время разобраться с динамической маршрутизацией. Кто то мне обещал, что посоветует про area, в какие совать мне филиалы и зачем. А также я планирую снова использовать пакет frr, к quagga OSPF у меня доверие пропало.

Ещё одно преимущество OPNSense в том, что там не голые настройки, в консоли, в отличие от PFSense, нужно вводить пароль. Это даёт гарантию того, что даже при физическом доступе к шлюзу войти в систему из консоли будет невозможно, без пароля. А это ещё один бонус, к безопасности.
Для кого то депрессия и тоска это не просто состояния, это стиль жизни...

Уваров А.С.

сменил PFSense на OPNSense, эта система немного сложнее, но есть одно но - она не формирует дурацких автоматических правил
От перемены слагаемых... Весь вопрос именно в уровне владения системой. Насколько я видел на скриншотах, в PFSense автоматические правила тоже легко выключаются.

Я сменил протокол GRE, я про него много плохого читал, в том числе разговаривал с человеком, который работает с микротиками. Он мне ответил, что безобразный и глючный протокол, от использования которого он отказался.
Мда... GRE - это классика, простой и надежный как табуретка, что там "плохого" просто затрудняюсь представить.

Я сменил на IPsec VTI. То есть на маршрутизируемый тоннель, а это о чём то уже говорит, поверьте.
А GRE у нас давно не маршрутизируемый?

При этом создаётся сам отдельный интерфейс
Собственно как и у GRE.

Конечно, вы можете мне сказать, что плохому танцору мешает кое что, на это я отвечу, что на вкус и цвет товарищей нет.
Здесь соглашусь.

Теперь, я думаю, настало время разобраться с динамической маршрутизацией. Кто то мне обещал, что посоветует про area, в какие совать мне филиалы и зачем.
Мое мнение - вам хватит и одной области, даже магистральной. Но если делать по уму, то сделайте еще область и поместите туда свои сети.

Это даёт гарантию того, что даже при физическом доступе к шлюзу войти в систему из консоли будет невозможно, без пароля. А это ещё один бонус, к безопасности.
При физическом доступе к системе можете тушить свет и сливать воду.


Призрак

От перемены слагаемых... Весь вопрос именно в уровне владения системой. Насколько я видел на скриншотах, в PFSense автоматические правила тоже легко выключаются.
Правила NAT там всё равно автоматические, какие - то тупые, сами видели, на скриншотах.

Мда... GRE - это классика, простой и надежный как табуретка, что там "плохого" просто затрудняюсь представить.
А вы попробуйте ради интереса сами развернуть, на виртуальных машинах, только на pfSense. Я очень удивлюсь, если у вас получится. Может на линуксе это прокатывает, но я не знаю, сколько раз я писал, что с GRE на FreeBSD есть баг. А у меня ни времени, ни желания нет разбираться с этим багом, который не к чести разработчиков так и не исправили.

А GRE у нас давно не маршрутизируемый?
Не нужно цепляться к словам, я просто назвал один из режимов работы IPsec туннеля, а вы сразу так.

Собственно как и у GRE.
Он создаётся автоматически и сразу доступен, когда как для GRE приходится его создавать руками, ну на pfSense не пробовал создать IPsec VTI.

Мое мнение - вам хватит и одной области, даже магистральной. Но если делать по уму, то сделайте еще область и поместите туда свои сети.
То есть для административного корпуса 0.0.0.0, а для остальных 1.1.1.1?

При физическом доступе к системе можете тушить свет и сливать воду.
Честно говоря, это я не понял. Если есть доступ по SSH, то можно использовать его. А что плохого в пароле, на физическом доступе? Кроме нас там ещё персонал ходит, не хотелось бы, чтобы кто нибудь поигрался с настройками.
Для кого то депрессия и тоска это не просто состояния, это стиль жизни...

Уваров А.С.

Правила NAT там всё равно автоматические, какие - то тупые, сами видели, на скриншотах.
И на тех же скриншотах вверху виден переключатель, одна из позиций которого - не создавать автоматических правил.

но я не знаю, сколько раз я писал, что с GRE на FreeBSD есть баг. А у меня ни времени, ни желания нет разбираться с этим багом, который не к чести разработчиков так и не исправили.
Ссылку на незакрытый баг дадите? На багтрекере.

А вы попробуйте ради интереса сами развернуть, на виртуальных машинах, только на pfSense. Я очень удивлюсь, если у вас получится.
Вы не единственный пользователь pfSence и протоколу GRE лет в обед и он просто работает. У меня нет ни времени не желания возиться с pfSence, но беглый поиск в Гугле проблем не находит. В Linux и на Mikrotik GRE работает без лишних к нему вопросов.

Вообще ваши действия напоминают мне метания в стиле: не забивает гвозди молоток в красной ручкой, возьму вон тот с зеленой.

По хорошему, если выбрали какой-то продукт, то нужно изучать его до упора. А завтра у вас с OPNSense что-то не выйдет, куда побежите?

То есть для административного корпуса 0.0.0.0, а для остальных 1.1.1.1?
Зачем? Все в 1.1.1.1, магистральную область просто не трогаете.

А что плохого в пароле, на физическом доступе? Кроме нас там ещё персонал ходит, не хотелось бы, чтобы кто нибудь поигрался с настройками.
Если у меня есть физический доступ к железу с возможностью вставить флешку и загрузиться с нее, можете считать что никаких паролей у вас нет.

Вверх