VPN na monowallu

disco

Fizikalc
21. jul 2007
1.102
0
36
Postavil sem IPSEC med Soekris 4501, kjer laufa monowall in linksys RV042. Problem, ki ga imam je, da po uspešni povezavi lahko iz linkys strani pingam samo IP od Soekrisa, vse ostale IPje pa ne. Isto se mi dogaja preko PPTP povezave. Predvidevam, da Soekris ne spusti prometa naprej, kar bi pomenilo, da moram nek rule v FWju postavit?

Pri PPTP povezavi mi je tudi čudno, ker mi Soekris dodeli Gateway enak kot mi dodeli IP. A ne bi moral bit gateway ip od Soekrisa?

hvala
 

Romzi

Guru
4. sep 2008
9.636
3.450
113
Dobrova pri LJ.
Hmmm, pri VPN (monowall) moraš nekje nastavit tudi scope IP-jev, ki ti jih dodeli router. Maš nastavljeno prav?
Sicer je že dolgo tega, kar sem tole uporabljal/testiral, vendar je delalo ko šus!
Edit: PPTP je pa sploh laufal brezhibno in brez težav, če me spomin ne vara zadevo po žnj (vsaj 5) letih še vedno uporabljajo v ene dveh ali treh firmah...
 
Nazadnje urejeno:

disco

Fizikalc
21. jul 2007
1.102
0
36
Bom bolj podrobno napisal, kako imam nastavljeno

Soekris ima 192.168.1.2, Linksys pa 192.168.2.1
Pri PPTP na soekrisu imam nastavljen server na en prazen IP na mrezi, remote address range pa 192.168.1.144 / 28 - To je verjetno scope IP, torej od 144 naprej? Al je to DHCP Relay, ki ga imam izklopljenjega?

Ko se s PCjem povežem na Soekrisa, mi ta dodeli IP in Gateway 192.168.1.144. Ping na Soekrisa 1.2 deluje, na ostale IPje pa ne.

Pri IPSEC imam vključen NAT Traversal, local subnet na 192.168.1.0 / 24, remote pa na 192.168.2.0 / 24

Pri firewallu imam rule za interface VPN IPSEC, da spusti naprej vse, torej any oz. * * * * *. Enako imam nastvljeno tudi za interface PPTP VPN

Probal sem naredit tudi static route za PPTP na 192.168.1.0/24 in gateway 192.168.1.2.

Hvala
 

Utisevalec

Guru
12. nov 2007
16.132
4.112
113
Sicer povzeto iz pfsensa ampak monowall je podobna zadeva.

Phase 1 konekcija na ipsecu ima:
Remote gateway = javni IP na katerem je druga stran dosegljiva
Za zacetek izkjuci DPD (dead peer detection) ce je vkljucen ker povzroca samo tezave.

Phase 2 konekcija na ipsecu mora imeti:
local network = local subnet (pri monowalu jo izberes kot lokalni alias ne vpisujes rocno)
remote network = pac omrezje z masko kot je remote

Pod Firewall rulsi imas potem ipsec zavihek z dovoljenji za vse, za zacetek na obeh straneh. (in seveda comitaj spremembe)

To vedno 100% deluje.

Ce ti ne deluje potem poskusi ping iz routerja na drugo omrezje (torej iz routerja 1.2 pingaj omrezje 2.XX in obratno).
 

disco

Fizikalc
21. jul 2007
1.102
0
36
Ja, tako imam nastavljeno, no Monowall ima malce drugače

Local subnet = 192.168.1.0/24
Remote subnet = 192.168.2.0/24
Remote gateway = 193.x.x.x (Javni IP na linksysu)
DPD interval je 0 oz. je prazno polje

Phase 1 in Phase 2 sta pa samo enkripcija, kar je na obeh straneh enako.

Sedaj sem probal PPTP še na win7 mašini in dobim
IP = 192.168.1.144
Netmask = 255.255.255.255
Gateway = 0.0.0.0

Pingam lahko spet samo Monowall
 

disco

Fizikalc
21. jul 2007
1.102
0
36
PPTP in IPSEC Rule imam pa

Action = pass
Interface = pptp oz. ipsec
Protocol = any
Source type = any
Destination type = any

Kolikor razumem, to pomeni, da spusti skozi vse, kar pride preko VPNja.