انجمن‌های فارسی اوبونتو

لطفاً به انجمن‌ها وارد شده و یا جهت ورود ثبت‌نام نمائید

لطفاً جهت ورود نام کاربری و رمز عبورتان را وارد نمائید


توزیع گنو/لینوکس اوبونتو ۲۰ ساله شد 🎉

نویسنده موضوع: راه اندازی site to site vpn  (دفعات بازدید: 2533 بار)

0 کاربر و 1 مهمان درحال مشاهده موضوع.

آفلاین mohammadreza73

  • Jr. Member
  • *
  • ارسال: 74
  • جنسیت : پسر
راه اندازی site to site vpn
« : 02 اسفند 1393، 05:36 ب‌ظ »
دوستان کسی مطلب یا لینک یا هر چیزی داره که اموزش راه اندازی وی پی ان site to site  باشه  از طریق ipsec
 دو تا راه اندازی کردم ولی بس که بد توضضیح داده بودند اشتبیاه شده و درست وصل نیست
میخوام کلاینت های این سمت بتونن کلاینت های سمت دیگه رو از طریق ipsec tunneling  ببینند از طریق pfsense :)

آفلاین abyz

  • Jr. Member
  • *
  • ارسال: 83
  • جنسیت : پسر
    • تجربه‌های پراکنده
پاسخ : راه اندازی site to site vpn
« پاسخ #1 : 03 اسفند 1393، 10:50 ق‌ظ »
یه کتاب هست به نام
pfSense: The Definitive Guide
توش گفته چطور این کار رو انجام بدی!
کلا دردسر IPSec زیاده و من پیشنهاد میدم از یه چیزی مثل OpenVPN استفاده کنی راحت‌تره

این دوتا tutorial رو هم ببین
https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel

http://meandmymac.net/2014/08/pfsense-ipsec-site-to-site-with-dns-resolving/

تجربه‌های پراکنده من http://blog.abyz.ir
بسازید شکست بخورید اما موفق شوید http://pretotyping.ir

آفلاین mohammadreza73

  • Jr. Member
  • *
  • ارسال: 74
  • جنسیت : پسر
پاسخ : راه اندازی site to site vpn
« پاسخ #2 : 03 اسفند 1393، 12:11 ب‌ظ »
مرسی از راهنماییت openvpn  رو داریم میخوایم تست کینیم ببینیم ipsec چطور جواب میده مرسی از راهنممایت ::)
لینک هایی هم که گذاشتی اولی برای ایجاد vpn سایت تو سایت هست ولی اجازه میده شماه اینترنت از طرف مقابل بگیری چیزی که من میخوام کلاینت های طرفین اگر خواستن با هم ارتباط برقرار کنن از این تونل استفاده کنن نه برای دسترسی به اینترنت
« آخرین ویرایش: 03 اسفند 1393، 12:13 ب‌ظ توسط mohammadreza73 »

آفلاین abyz

  • Jr. Member
  • *
  • ارسال: 83
  • جنسیت : پسر
    • تجربه‌های پراکنده
پاسخ : راه اندازی site to site vpn
« پاسخ #3 : 03 اسفند 1393، 03:27 ب‌ظ »
خواهش

این حالت دوم خیلی ساده تر از حالتیه که شما میخوای اینترنت رو رد کنی. یعنی شما اول دسترسی از کامپیوترها رو ایجاد میکنی بعدش دسترسی به اینترنت. جدول مسیریابیت فرق میکنه که اگه اینترنت رو راه انداخته باشی اون هم میتونی راه بندازی. کلا این جدول مسیریابی وابسته به کاریه که میخوای انجام بدی

تجربه‌های پراکنده من http://blog.abyz.ir
بسازید شکست بخورید اما موفق شوید http://pretotyping.ir

آفلاین mohammadreza73

  • Jr. Member
  • *
  • ارسال: 74
  • جنسیت : پسر
پاسخ : راه اندازی site to site vpn
« پاسخ #4 : 03 اسفند 1393، 03:50 ب‌ظ »
من میخوتم این دو تا کلاینتم از طریق بستر اینترنت با هم امن صحبت کنن و از طریق ipsec vpn انجام شه
اول طرفین pfsense هارو نصب کردم بعد تنظیماتشو انجام دادم که هر دو طرف حتی کلاینت ها که به lan  وصل هستن اینترنت داشنته باشن بعد که همه چی اوکی بود وی پی ان و راه اندازی کردم چندین بارم چک کردم تنظیمات دو طرفو ولی از طرفین کانکت نمیشه به وی پی ان هر مدل اشال یابی هم بگی کردم دیگه دارم دیونه میشم از دستش
نظری نداری ؟؟
 ](*,) ](*,) ](*,)

آفلاین mohammadreza73

  • Jr. Member
  • *
  • ارسال: 74
  • جنسیت : پسر
پاسخ : راه اندازی site to site vpn
« پاسخ #5 : 03 اسفند 1393، 03:52 ب‌ظ »
نقل‌قول
جدول مسیریابیت فرق میکنه که اگه اینترنت رو راه انداخته باشی اون هم میتونی راه بندازی. کلا این جدول مسیریابی وابسته به کاریه که میخوای انجام بدی
منظورت از این چیه
یعنی چی باید چی کارش کنم الان تو این سنارویو :o :o
و اینی که میگید ازش مطمیینید چون من هر سایتی این چند روز گشتم تو هیچ کدوم تو مراحلشون تنظیماتی مبنی بر routing  نداشتند
« آخرین ویرایش: 03 اسفند 1393، 05:28 ب‌ظ توسط mohammadreza73 »

آفلاین abyz

  • Jr. Member
  • *
  • ارسال: 83
  • جنسیت : پسر
    • تجربه‌های پراکنده
پاسخ : راه اندازی site to site vpn
« پاسخ #6 : 03 اسفند 1393، 07:45 ب‌ظ »
اولا باید بگم که مطمئنی میتونی با اشتراک اینترنتی که داری میتونی ipsec ایجاد کنی؟
ما توی شرکت با بعضی از فراهم کنندگان اینترنت مشکل داشتیم و داریم و نمیتونیم از اونها برای راه‌اندازی ip sec اقدام کنیم.
دوما اینکه باید آی پی استاتیک داشته باشی

منظور از جدول روتینگ اینه که باید به هر دو طرف یه جوری اعلام کنی که برای یه رنج آی پی سایت مقابل از اینترفیس ip sec استفاده کنن

از اینجا به بعدش هم سخت میشه بدون دسترسی به لاگ‌ها و سیستم‌ها عیب یابی رو انجام داد
« آخرین ویرایش: 03 اسفند 1393، 07:47 ب‌ظ توسط abyz »
تجربه‌های پراکنده من http://blog.abyz.ir
بسازید شکست بخورید اما موفق شوید http://pretotyping.ir

آفلاین mohammadreza73

  • Jr. Member
  • *
  • ارسال: 74
  • جنسیت : پسر
پاسخ : راه اندازی site to site vpn
« پاسخ #7 : 04 اسفند 1393، 12:30 ب‌ظ »
مرسی از راهنمایت
یعنی از بستر ایمنترنت نمیشه همچین plan ای را راه انداخت
توی tutorial های که خونده بودم چیزی از مسیر یابی نگفته بودن
لاگ هایی ک کیزد و تو همین انجمن تو پست جدا گانه گذاشتم اگه بیایی اونو ببینی ممنون میشم

آفلاین mohammadreza73

  • Jr. Member
  • *
  • ارسال: 74
  • جنسیت : پسر
پاسخ : راه اندازی site to site vpn
« پاسخ #8 : 04 اسفند 1393، 02:10 ب‌ظ »
الان برای اینکه مطن شم ایا مشکل تز اینرتنت هست یا ipsec من لینک wan مو زدم یه لینک point -to -point با  virtual network
به هم وصل کردم gatway هاشو تنظیم کردم زدم کانکت شه بازم کانکت نشد
لاگ هاشم ایناس
میتونی راهنماییم کنی ؟


Feb 22 20:51:43 racoon: [pfsense wan site b]: [192.168.20.41] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 192.168.20.41[0]->192.168.20.40[0]
Feb 22 20:51:43 racoon: INFO: delete phase 2 handler.
Feb 22 20:51:43 racoon: [pfsense wan site b]: [192.168.20.41] INFO: request for establishing IPsec-SA was queued due to no phase1 found.
Feb 22 20:52:01 racoon: ERROR: phase1 negotiation failed due to time up. 16146c05610f0cc3:0000000000000000
Feb 22 20:52:15 racoon: [pfsense wan site b]: [192.168.20.41] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 192.168.20.41[0]->192.168.20.40[0]
Feb 22 20:52:15 r


آفلاین abyz

  • Jr. Member
  • *
  • ارسال: 83
  • جنسیت : پسر
    • تجربه‌های پراکنده
پاسخ : راه اندازی site to site vpn
« پاسخ #9 : 04 اسفند 1393، 03:29 ب‌ظ »
با توجه به متن خطا من این لینک رو پیدا کردم

https://forum.pfsense.org/index.php?topic=45502.0

معنی این خطا اینه که pfsense‌ ها همدیگه رو پیدا نمیکنن و خلاصه بحث‌های این لینکه اینه که یا

پورت 500 udp به درستی باز نشده و ارتباط دو طرفه اونها وجود نداره.
پیشنهاد حل این مشکل هم اینه که اول تنظیمات رو دوباره چک کنید.
دوما با استفاده از packet capture توی منوی diagnostic‌ ببینی که آیا روی ان پورت در دو طرف پکت میبینی یا نه
تجربه‌های پراکنده من http://blog.abyz.ir
بسازید شکست بخورید اما موفق شوید http://pretotyping.ir

آفلاین mohammadreza73

  • Jr. Member
  • *
  • ارسال: 74
  • جنسیت : پسر
پاسخ : راه اندازی site to site vpn
« پاسخ #10 : 04 اسفند 1393، 03:47 ب‌ظ »
مرسی ازت دوست عزیز با توجه به دایکیومنت های pfsense  به نتیاجی رسیدم که به نظرم مشکل از رنج ای پی هاست  و مشکل میتنوه توی subneting  باشه
این پاراگراف رو مطالعه کنید اگر مشکلی بر خوردید مثل من

نقل‌قول
Both locations must be using non-overlapping LAN IP subnets.

    For example, if both sites are using 192.168.1.0/24 on the LAN, no site to site VPN will work. This is not a limitation in pfSense, it's basic IP routing. When any host on either of the networks tries to communicate with 192.168.1.0/24, it will consider that host to be on its local LAN and the packets will never reach pfSense to be passed over the VPN connection. Similarly, if one site is using, for example, 192.168.0.0/16 and one using 192.168.1.0/24, these subnets are also overlapping and a site to site VPN will not work. Keep in mind the more networks that are linked together the more important this basic fact becomes. Do not use unnecessarily large subnet masks. If the LAN is 10.0.0.0/8, but it only has 100 hosts on it, that is unnecessarily limiting the ability to add VPN networks anywhere in the 10.x.x.x space. NAT can work around scenarios where there are conflicting subnets, though it's preferable to avoid NAT in such circumstances and may be a requirement depending on what kind of functionality is required across the VPN.


امیدوارم با تعویض رنج ها و سابنت ها مشکل حل شه
این ارور  هایی هم که شما گفتی حتما رسیدگیشون میکنم