Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ
Trang Chủ Giới Thiệu Chương Trình Học Tài Liệu Lịch Khai Giảng Học Phí Việc Làm Lộ trình học

Go Back   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ > MICROSOFT AREA > Network Infrastructure
Đăng Ký Thành Viên Thành Viên Lịch Ðánh Dấu Ðã Ðọc

Network Infrastructure DHCP, DNS, WINS, VPN, RAS, Radius ...
Người Quản Trị : Nguyễn Văn Cơ , Hoàng Phùng Bảo , Lê Ngọc Hiến

Vui lòng gõ từ khóa liên quan đến vấn đề bạn quan tâm vào khung dưới , trước khi đặt câu hỏi mới.


Trả lời
 
Ðiều Chỉnh
  #1  
Old 23-10-2014, 16:35
thuongnet thuongnet vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Feb 2009
Tuổi: 35
Bài gởi: 82
Thanks: 0
Thanked 100 Times in 26 Posts
Hỗ trợ cấu hình VPN - Site - to - Site (IPsec) - Multi Subnet

Chào các bác !

Tình hình là đang triển khai thằng pfsense nhưng đến khúc này bí ! vật vã từ sáng đến giờ. Post lên mong các bác chỉ giáo

Mô Hình của em như sau:




** Sorry mọi người em vẽ bằn tay cho nhanh.


Yêu cầu: Kết nối VPN sao cho Site A - Kết nối được với các LAN subnet trên Site B

Lúc trước em đang VPN bằng 2 con draytek 2920, chạy bình thường mà chuyển qua pfsense thì em bó chíu.

Tình trạng hiện tại.

Đã kết nối được 2 site thông qua VPN

1. Site B >> Site A

Từ 192.168.212.0 >> 192.168.200.0




2. Site A >> Site B

Nó chỉ đến được 192.168.1.1 em muốn nó đến 192.168.0.0/16 hay Vài LAN Subnet chỉ định

Đang thắc mắc không biết khúc này route làm sao nữa cho nó đi qua



Em nó lạc đường




Log của em nó, mà nói thật là đọc không hiểu tự gạch :gach:




Phần router route trả về cho em 2920



Cấu hình em pfsense

Các bác xem hộ em file config

Trích:
# This file is automatically generated. Do not edit
path pre_shared_key "/var/etc/ipsec/psk.txt";

path certificate "/var/etc/ipsec";


listen
{
adminsock "/var/db/racoon/racoon.sock" "root" "wheel" 0660;
isakmp 115.79.101.137 [500];
isakmp_natt 115.79.101.137 [4500];
}

extcfg { script "/var/etc/ipsec/ipsec.php" }

remote 113.161.87.100
{
ph1id 1;
exchange_mode main;
my_identifier address 115.79.101.137;
peers_identifier address 113.161.87.100;

ike_frag on;
generate_policy = off;
initial_contact = on;
nat_traversal = off;


dpd_delay = 10;
dpd_maxfail = 5;
support_proxy on;
proposal_check claim;


proposal
{
authentication_method pre_shared_key;
encryption_algorithm 3des;
hash_algorithm md5;
dh_group 1;
lifetime time 28800 secs;
}
}

sainfo subnet 192.168.200.0/24 any subnet 192.168.1.0/24 any
{
remoteid 1;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
pfs_group 1;
lifetime time 3600 secs;
compression_algorithm deflate;
}

sainfo subnet 192.168.200.0/24 any subnet 192.168.212.0/24 any
{
remoteid 1;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
pfs_group 1;
lifetime time 3600 secs;
compression_algorithm deflate;
}


Cấu hình 2920







Status



Thanks các bác ! Bác nào search goole ra trường hợp tương tự cho em xin luôn link nhé :byebye:
Trả Lời Với Trích Dẫn
Sponsored links
  #2  
Old 23-10-2014, 17:07
khv2kt khv2kt vẫn chưa có mặt trong diễn đàn
Lão Làng
 
Tham gia ngày: May 2009
Nơi Cư Ngụ: Biên Hòa
Bài gởi: 1,606
Thanks: 91
Thanked 453 Times in 404 Posts
- Firewall ở giữa chặn lại. bạn đã cấu hình gì trên firewall cho phép các lớp mạng truy cập vào LAN ?
- Các lớp mạng đã được route add cho nhau chưa? Trong 1 site và giữa 2 site ?
....
Sao không dựng VPN trên firewall mà lại dùng Router Vigor chi cho rắc rối vậy ?

Mình không biết pfsen. chỉ nhìn ra được mấy điểm trên
Trả Lời Với Trích Dẫn
  #3  
Old 23-10-2014, 21:10
thuongnet thuongnet vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Feb 2009
Tuổi: 35
Bài gởi: 82
Thanks: 0
Thanked 100 Times in 26 Posts
Trích:
Nguyên văn bởi khv2kt View Post
- Firewall ở giữa chặn lại. bạn đã cấu hình gì trên firewall cho phép các lớp mạng truy cập vào LAN ?
- Các lớp mạng đã được route add cho nhau chưa? Trong 1 site và giữa 2 site ?
....
Sao không dựng VPN trên firewall mà lại dùng Router Vigor chi cho rắc rối vậy ?

Mình không biết pfsen. chỉ nhìn ra được mấy điểm trên
Cảm ơn bác nhiều !

- Firewall chặn: Em đang thắc mắc khúc này, trước khi em build con pfsense này thì VPN bằng 2 con 2920 VPN bình thường, firewall vẫn cho các gói tin đi từ 192.168.200.0/24 đến internal

- Mình sẽ kiểm tra lại phần route, mình nghĩ nó nằm chỗ này, mà chưa biết làm thế nào trên em pfsense.

- Em cũng lần đầu dùng pfsense, em làm cái Captive Portal cho Wifi Public nên dùng pfsene cho nó đơn giản. Với lại muốn bỏ luôn con Vigor đầu site A cho nó đơn giản hệ thống. Em không muốn làm cho nó quá phức tạp.

- Con Router Vigor cung cấp kết nối internet cho end user, có 2 ISP backup lẫn nhau. Kênh VPN là kênh kết nối dự phòng cho lease line, thực tế ra thì em cho nó chạy trên đường VPN này là chính LL dung lượng thấp nên khá chậm, đang đợi kinh phí nâng cấp bác ạ.


thay đổi nội dung bởi: thuongnet, 23-10-2014 lúc 21:19
Trả Lời Với Trích Dẫn
  #4  
Old 24-10-2014, 00:21
khv2kt khv2kt vẫn chưa có mặt trong diễn đàn
Lão Làng
 
Tham gia ngày: May 2009
Nơi Cư Ngụ: Biên Hòa
Bài gởi: 1,606
Thanks: 91
Thanked 453 Times in 404 Posts
Trích:
- Firewall chặn: Em đang thắc mắc khúc này, trước khi em build con pfsense này thì VPN bằng 2 con 2920 VPN bình thường, firewall vẫn cho các gói tin đi từ 192.168.200.0/24 đến internal
Phần in đậm chứng tỏ :
+ Trên firewall bạn đã tạo 1 network chứa range IP của site A.
+ Truy cập được internal nghĩa là bạn đã thiệt lập network rule và access rule cho phép siteA truy cập internal
+ Trên vigor site B đã route add về lớp mạng LAN sau firewall
Bạn kiểm tra lại xem có đúng không ?

- Ở trên gói tin lạc đường có khả năng trên pfsen bạn chưa route add về lớp mạng LAN sau Router. Từ kết quả dòng lệnh tracert từ IP 192.168.200.100 đến 192.168.212.1 nói rõ nè
+ Tracert 192.168.212.1
+ kết quả gói tin từ 192.168.200.100 chỉ đến Pfsen. Pfsen chẳng biết đi đâu để kiếm IP 192.168.212.1 vì bảng định tuyến Pfsen không có thông tin lớp IP 192.168.212.x/24. Nó đành đi theo default route -> Lạc đường

- Có điều mình thắc mắc. Con firewall của bạn đang chạy Route mode à ? Vì nếu chạy NAT mode thì trừ khi bạn NAT inbound mới truy cập được pc trong LAN sau firewall

Bổ sung : Nếu firewall của bạn làm VPN server thì mọi việc đơn giản hơn. Vigor 2920 hỗ trợ NAT-T

thay đổi nội dung bởi: khv2kt, 24-10-2014 lúc 00:30
Trả Lời Với Trích Dẫn
  #5  
Old 24-10-2014, 09:04
thuongnet thuongnet vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Feb 2009
Tuổi: 35
Bài gởi: 82
Thanks: 0
Thanked 100 Times in 26 Posts
Trích:
Nguyên văn bởi khv2kt View Post
Phần in đậm chứng tỏ :
+ Trên firewall bạn đã tạo 1 network chứa range IP của site A.
+ Truy cập được internal nghĩa là bạn đã thiệt lập network rule và access rule cho phép siteA truy cập internal
+ Trên vigor site B đã route add về lớp mạng LAN sau firewall

Bạn kiểm tra lại xem có đúng không ?

- Ở trên gói tin lạc đường có khả năng trên pfsen bạn chưa route add về lớp mạng LAN sau Router. Từ kết quả dòng lệnh tracert từ IP 192.168.200.100 đến 192.168.212.1 nói rõ nè
+ Tracert 192.168.212.1
+ kết quả gói tin từ 192.168.200.100 chỉ đến Pfsen. Pfsen chẳng biết đi đâu để kiếm IP 192.168.212.1 vì bảng định tuyến Pfsen không có thông tin lớp IP 192.168.212.x/24. Nó đành đi theo default route -> Lạc đường


- Có điều mình thắc mắc. Con firewall của bạn đang chạy Route mode à ? Vì nếu chạy NAT mode thì trừ khi bạn NAT inbound mới truy cập được pc trong LAN sau firewall

Bổ sung : Nếu firewall của bạn làm VPN server thì mọi việc đơn giản hơn. Vigor 2920 hỗ trợ NAT-T
Mình đánh giá cao sự hỗ trợ của bạn ^-^

1. Phần màu xanh: Phần này không bàn đến, vì trước giờ nó vẫn chạy nên ý kiến của bạn là chính xác.

2. Phần màu đỏ: Bữa nay mình sẽ tập trung giải quyết cái chỗ này, trước giờ với mô hình như thế này mình gặp cũng nhiều nhưng toàn bộ VPN trên firewall nên rất đơn giản.

3. Firewall đang chạy mode NAT, mình có NAT inbound và có Rule cho VPN Address access internal V-LAN.

4. Sẽ thiên về phương án của bạn nếu không giải quyết được vấn đề hiện tại, mình sẽ chuyển qua VPN trên Firewall.

5. Thanks !!!


p/s: admin bỏ cái check key word đi VD: V_LAN nó hiểu có từ Vê Lờ hix,
Trả Lời Với Trích Dẫn
  #6  
Old 25-10-2014, 13:56
thuongnet thuongnet vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Feb 2009
Tuổi: 35
Bài gởi: 82
Thanks: 0
Thanked 100 Times in 26 Posts
Vấn đề đã được giải quyết, thanks mọi người đã quan tâm.

Ban đầu em cứ nghĩ là làm sao cho nhiều subnet đi qua VPN VPN tunnels. Nếu làm như thế này 2 đầu là 2 con pfsense nó chạy bình thường. Nhưng 1 đầu là pfsene và 1 đầu non-pfsense thì nó không chạy.

Em chơi kiểu gom nguyên đám IP của internal thành 1 subnet 192.168.0.0/16 là OK, tại vì nguyên đám V_LAN của em bên trong đều là 192.168.x.x.

Phía pfsense



Phía 2920



Kết quả

Site A - To - Site B



Site B - to - Site A

Trả Lời Với Trích Dẫn
  #7  
Old 06-01-2019, 00:21
ngoquy2592 ngoquy2592 vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Jan 2019
Tuổi: 26
Bài gởi: 3
Thanks: 0
Thanked 0 Times in 0 Posts
Bác có thể cho em xin cấu hình của rules cho phep vpn address access internal VLAN dc ko ạ . tiện thể em muốn hỏi bác về cấu hình VPN cho 2 LAN trong pfsense của 2 site thấy được nhau theo mô hình dưới này được ko ạ .
https://imgur.com/a/EVRuDEs
Trả Lời Với Trích Dẫn
Sponsored links
Trả lời

Bookmarks

Ðiều Chỉnh

Quyền Sử Dụng Ở Diễn Ðàn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Smilies đang Mở
[IMG] đang Mở
HTML đang Tắt

Chuyển đến

Similar Threads
Ðề tài Người Gởi Chuyên mục Trả lời Bài mới gởi
[Tutorial] VPN Client to Site on CentOS with OpenVPN tindecken [ LINUX ] Thảo luận chung 47 25-05-2016 13:39
[Wireless TOTOLINK] Hướng dẫn cấu hình WDS - Mở rộng vùng phủ sóng Vigor2700 Wireless Solution 6 01-04-2014 09:56
Lớp MCITP SA 2008 (Khai giảng 18/6/2011) nguyenduccuong Server Management 317 21-05-2013 09:44
Thiết kế bì mì Lẩu Thái nguyenxuanson88 Lớp Đồ Họa Quảng Cáo 7 15-12-2012 13:42
FTP Publishing Service ẨnSĩ KHO LAB NHẤT NGHỆ 1 21-10-2008 01:54



Múi giờ GMT +7. Hiện tại là 20:32
Powered by: vBulletin Version 3.8.7
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Ad Management by RedTyger