Перейти до

Помогите настроить L2TP/IPsec VPN на pfSense 2.3.2


Рекомендованные сообщения

Здравствуйте!
Помогите настроить L2TP/IPsec VPN на pfSense.
Есть свежеустановленная тестовая машина с pfSense:
2.3.2-RELEASE (i386) 
 built on Tue Jul 19 13:09:39 CDT 2016 
FreeBSD 10.3-RELEASE-p5 
 
WAN IP:
62.216.xx.xx
LAN IP (DHCP - disabled):
192.168.1.5
 
Настраивал по мануалу
Логи pfsense:
Oct 1 02:03:13  charon   10[NET] <13> received packet: from 89.252.xx.xx[500] to 62.216.xx.xx[500] (408 bytes)  
Oct 1 02:03:13  charon   10[ENC] <13> parsed ID_PROT request 0 [ SA V V V V V V V V ]  
Oct 1 02:03:13  charon   10[ENC] <13> received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:01  
Oct 1 02:03:13  charon   10[IKE] <13> received MS NT5 ISAKMPOAKLEY vendor ID  
Oct 1 02:03:13  charon   10[IKE] <13> received NAT-T (RFC 3947) vendor ID  
Oct 1 02:03:13  charon   10[IKE] <13> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID  
Oct 1 02:03:13  charon   10[IKE] <13> received FRAGMENTATION vendor ID  
Oct 1 02:03:13  charon   10[ENC] <13> received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20  
Oct 1 02:03:13  charon   10[ENC] <13> received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19  
Oct 1 02:03:13  charon   10[ENC] <13> received unknown vendor ID: e3:a5:96:6a:76:37:9f:e7:07:22:82:31:e5:ce:86:52  
Oct 1 02:03:13  charon   10[IKE] <13> 89.252.xx.xx is initiating a Main Mode IKE_SA  
Oct 1 02:03:13  charon   10[ENC] <13> generating ID_PROT response 0 [ SA V V V V ]  
Oct 1 02:03:13  charon   10[NET] <13> sending packet: from 62.216.xx.xx[500] to 89.252.xx.xx[500] (160 bytes)  
Oct 1 02:03:13  charon   10[NET] <13> received packet: from 89.252.xx.xx[500] to 62.216.xx.xx[500] (388 bytes)  
Oct 1 02:03:13  charon   10[ENC] <13> parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]  
Oct 1 02:03:13  charon   10[IKE] <13> remote host is behind NAT  
Oct 1 02:03:13  charon   10[ENC] <13> generating ID_PROT response 0 [ KE No NAT-D NAT-D ]  
Oct 1 02:03:13  charon   10[NET] <13> sending packet: from 62.216.xx.xx[500] to 89.252.xx.xx[500] (372 bytes)  
Oct 1 02:03:13  charon   10[NET] <13> received packet: from 89.252.xx.xx[4500] to 62.216.xx.xx[4500] (76 bytes)  
Oct 1 02:03:13  charon   10[ENC] <13> parsed ID_PROT request 0 [ ID HASH ]  
Oct 1 02:03:13  charon   10[CFG] <13> looking for pre-shared key peer configs matching 62.216.xx.xx...89.252.xx.xx[192.168.5.104]  
Oct 1 02:03:13  charon   10[CFG] <13> selected peer config "con1"  
Oct 1 02:03:13  charon   10[IKE] <con1|13> IKE_SA con1[13] established between 62.216.xx.xx[62.216.xx.xx]...89.252.xx.xx[192.168.5.104]  
Oct 1 02:03:13  charon   10[IKE] <con1|13> scheduling reauthentication in 28143s  
Oct 1 02:03:13  charon   10[IKE] <con1|13> maximum IKE_SA lifetime 28683s  
Oct 1 02:03:13  charon   10[IKE] <con1|13> DPD not supported by peer, disabled  
Oct 1 02:03:13  charon   10[ENC] <con1|13> generating ID_PROT response 0 [ ID HASH ]  
Oct 1 02:03:13  charon   10[NET] <con1|13> sending packet: from 62.216.xx.xx[4500] to 89.252.xx.xx[4500] (76 bytes)  
Oct 1 02:03:13  charon   15[NET] <con1|13> received packet: from 89.252.xx.xx[4500] to 62.216.xx.xx[4500] (332 bytes)  
Oct 1 02:03:13  charon   15[ENC] <con1|13> parsed QUICK_MODE request 1 [ HASH SA No ID ID NAT-OA NAT-OA ]  
Oct 1 02:03:13  charon   15[IKE] <con1|13> received 250000000 lifebytes, configured 0  
Oct 1 02:03:13  charon   15[ENC] <con1|13> generating QUICK_MODE response 1 [ HASH SA No ID ID NAT-OA NAT-OA ]  
Oct 1 02:03:13  charon   15[NET] <con1|13> sending packet: from 62.216.xx.xx[4500] to 89.252.xx.xx[4500] (204 bytes)  
Oct 1 02:03:13  charon   15[NET] <con1|13> received packet: from 89.252.xx.xx[4500] to 62.216.xx.xx[4500] (60 bytes)  
Oct 1 02:03:13  charon   15[ENC] <con1|13> parsed QUICK_MODE request 1 [ HASH ]  
Oct 1 02:03:13  charon   15[IKE] <con1|13> CHILD_SA con1{6} established with SPIs c1421d55_i a0ce5dca_o and TS 62.216.xx.xx/32|/0[udp/l2f] === 89.252.xx.xx/32|/0[udp/l2f]  
Oct 1 02:03:48  charon   15[NET] <con1|13> received packet: from 89.252.xx.xx[4500] to 62.216.xx.xx[4500] (76 bytes)  
Oct 1 02:03:48  charon   15[ENC] <con1|13> parsed INFORMATIONAL_V1 request 4256905100 [ HASH D ]  
Oct 1 02:03:48  charon   15[IKE] <con1|13> received DELETE for ESP CHILD_SA with SPI a0ce5dca  
Oct 1 02:03:48  charon   15[IKE] <con1|13> closing CHILD_SA con1{6} with SPIs c1421d55_i (756 bytes) a0ce5dca_o (0 bytes) and TS 62.216.xx.xx/32|/0[udp/l2f] === 89.252.xx.xx/32|/0[udp/l2f]  
Oct 1 02:03:48  charon   05[NET] <con1|13> received packet: from 89.252.xx.xx[4500] to 62.216.xx.xx[4500] (92 bytes)  
Oct 1 02:03:48  charon   05[ENC] <con1|13> parsed INFORMATIONAL_V1 request 3672929147 [ HASH D ]  
Oct 1 02:03:48  charon   05[IKE] <con1|13> received DELETE for IKE_SA con1[13]  
Oct 1 02:03:48  charon   05[IKE] <con1|13> deleting IKE_SA con1[13] between 62.216.xx.xx[62.216.xx.xx]...89.252.xx.xx[192.168.5.104]  

В винде при подключении ошибка:

Не удалось установить связь по сети между компьютером и ВПН-сервером, 
так как удаленный сервер не отвечает. Возможная причина: одно из сетевых устройств не настроено для 
разрешения ВПН подключений...

Роутер перед клиентским ноутбуком 100% пропускает ВПН трафик, так как успешно подключается к другому L2TP/IPsec VPN-серверу.

 

Подскажите в чем может быть проблема?

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від hellion1986
      Допоможіть організувати локальні мережі найбільш оптимальним способом. Маємо двох провайдерів, один з яких надає дінамічну, а другий, відповідно, статичну IP-адреси. Також є локальна мережа користувацьких машин та окрема мережа для серверів. В якості файєрволла та маршрутизатора стоїть pfSense з 4-ма інтерфейсами. На даний час все побудовано по схемі, наведеній на малюнку, та поки що працює наступним чином - трафік від USERS LAN йде на wan_dhcp, а від SERV LAN відповідно на wan_static. Трафік між USERS LAN та SERV LAN регулюється відповідними правилами
       

       
      Питання наступне. Чи є така схема в данному випадку найоптимальнішою? Чи слід так робити, або, якщо ні, то як би ви порадили зробити?
    • Від OstJoker
      Новий міні-ПК, в заводській упаковці. В наявності 2 шт. Фото актуального товару.
      Повністю пасивне охолодження через металевий корпус. Чудовий варіант для побудови роутера, фаєрвола, сервера IoT і т.д. Помірне споживання електроенергії.
      Короткі характеристики:
      Процесор: 4 ядра  Intel® Atom® processor E3940 (9.5W, 4C)
      Оперативна память:  Up to 8GB Unbuffered non-ECC SO-DIMM, DDR3L-1866MHz, in 1 DIMM socket (опції нижче)
      SSD: 1 SATA 3.0 for 7mm 2.5" SATA SSD OR1 M.2 B-Key 2242 for SATA SSD (опції нижче)
      Мережа: 5 LAN with Intel® Ethernet Controller I210-IT RJ45 Gigabit Ethernet
      Інше: 2xHDMI, Audio, 2xUSB2.0, 2xUSB3.0, COM, TPM, M.2
      Зовнішній БЖ в комплекті 40W 12V 3.33A, AC to DC lockable power adapter.
      Детальна специфікація, фото, даташит на офіційному сайті супермікро: 
      https://www.supermicro.com/en/products/system/Box_PC/SYS-E50-9AP-N5.cfm
      Ціна: 4440 грн.
      Додаткові опції: 
      1. Новий ССД Samsung PM883 240GB SATA3 - 770 грн. 
      2. Б.в. оперативна пам"ять 2Gb PC3L-12800s (1.35В 1600Мгц) - 60 грн.
      3. Б.в. оперативна пам"ять 4Gb PC3L-12800s (1.35В 1600Мгц) - 120 грн.









    • Від r_28
      Потрібен фахівець для віддаленої допомоги/консультування щодо поглибленого налаштування ПО PFSENSE.  
      Тема  BGP,DualWAN,NAT та інш.
      Не безкоштовно.
       
      Подробиці у приват.
       
    • Від CaH4e3
      Доброго дня колеги.
      Треба VPN так, щоб весь трафік не бігав через "контору" - а щоб туди йшов тільки трафік, який до контори.
      Тобто якщо сидиш віддалено - то на гугл лазиш напряму, а на ресурси контори - через VPN
      Як можна обійтися без забирання галочку на вінді шлюз по замовчування.
      Бо коли забираєш галочку шлюз по замовчування то додатково на вінді потрібно маршрут прописати.
       
      Гугл щось мовчить можливо хтось підкажите як це зробити ?
    • Від intel_6
      Доброго дня громадо!!!!
      Потрібна допомога по Mikrotik для vpn
      Є офіс компанії і 30 філій в майбутньому планується 100 філій. кожну філію потрібно підключити до офісу. 
      В офісі встановлено 3 сервера і мережа (RDP, файл сервери, сервер баз даних)
      який главний комутатор поставити для таких задач  
×
×
  • Створити нове...