راه اندازی site to site vpn

[mohammadreza73]

دوستان کسی مطلب یا لینک یا هر چیزی داره که اموزش راه اندازی وی پی ان site to site  باشه  از طریق ipsec
 دو تا راه اندازی کردم ولی بس که بد توضضیح داده بودند اشتبیاه شده و درست وصل نیست
میخوام کلاینت های این سمت بتونن کلاینت های سمت دیگه رو از طریق ipsec tunneling  ببینند از طریق pfsense

[abyz]

یه کتاب هست به نام
pfSense: The Definitive Guide
توش گفته چطور این کار رو انجام بدی!
کلا دردسر IPSec زیاده و من پیشنهاد میدم از یه چیزی مثل OpenVPN استفاده کنی راحت‌تره

این دوتا tutorial رو هم ببین
https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel

http://meandmymac.net/2014/08/pfsense-ipsec-site-to-site-with-dns-resolving/

[mohammadreza73]

مرسی از راهنماییت openvpn  رو داریم میخوایم تست کینیم ببینیم ipsec چطور جواب میده مرسی از راهنممایت
لینک هایی هم که گذاشتی اولی برای ایجاد vpn سایت تو سایت هست ولی اجازه میده شماه اینترنت از طرف مقابل بگیری چیزی که من میخوام کلاینت های طرفین اگر خواستن با هم ارتباط برقرار کنن از این تونل استفاده کنن نه برای دسترسی به اینترنت

[abyz]

خواهش

این حالت دوم خیلی ساده تر از حالتیه که شما میخوای اینترنت رو رد کنی. یعنی شما اول دسترسی از کامپیوترها رو ایجاد میکنی بعدش دسترسی به اینترنت. جدول مسیریابیت فرق میکنه که اگه اینترنت رو راه انداخته باشی اون هم میتونی راه بندازی. کلا این جدول مسیریابی وابسته به کاریه که میخوای انجام بدی

[mohammadreza73]

من میخوتم این دو تا کلاینتم از طریق بستر اینترنت با هم امن صحبت کنن و از طریق ipsec vpn انجام شه
اول طرفین pfsense هارو نصب کردم بعد تنظیماتشو انجام دادم که هر دو طرف حتی کلاینت ها که به lan  وصل هستن اینترنت داشنته باشن بعد که همه چی اوکی بود وی پی ان و راه اندازی کردم چندین بارم چک کردم تنظیمات دو طرفو ولی از طرفین کانکت نمیشه به وی پی ان هر مدل اشال یابی هم بگی کردم دیگه دارم دیونه میشم از دستش
نظری نداری ؟؟
 

[mohammadreza73]

جدول مسیریابیت فرق میکنه که اگه اینترنت رو راه انداخته باشی اون هم میتونی راه بندازی. کلا این جدول مسیریابی وابسته به کاریه که میخوای انجام بدی

منظورت از این چیه
یعنی چی باید چی کارش کنم الان تو این سنارویو
و اینی که میگید ازش مطمیینید چون من هر سایتی این چند روز گشتم تو هیچ کدوم تو مراحلشون تنظیماتی مبنی بر routing  نداشتند

[abyz]

اولا باید بگم که مطمئنی میتونی با اشتراک اینترنتی که داری میتونی ipsec ایجاد کنی؟
ما توی شرکت با بعضی از فراهم کنندگان اینترنت مشکل داشتیم و داریم و نمیتونیم از اونها برای راه‌اندازی ip sec اقدام کنیم.
دوما اینکه باید آی پی استاتیک داشته باشی

منظور از جدول روتینگ اینه که باید به هر دو طرف یه جوری اعلام کنی که برای یه رنج آی پی سایت مقابل از اینترفیس ip sec استفاده کنن

از اینجا به بعدش هم سخت میشه بدون دسترسی به لاگ‌ها و سیستم‌ها عیب یابی رو انجام داد

[mohammadreza73]

مرسی از راهنمایت
یعنی از بستر ایمنترنت نمیشه همچین plan ای را راه انداخت
توی tutorial های که خونده بودم چیزی از مسیر یابی نگفته بودن
لاگ هایی ک کیزد و تو همین انجمن تو پست جدا گانه گذاشتم اگه بیایی اونو ببینی ممنون میشم

[mohammadreza73]

الان برای اینکه مطن شم ایا مشکل تز اینرتنت هست یا ipsec من لینک wan مو زدم یه لینک point -to -point با  virtual network
به هم وصل کردم gatway هاشو تنظیم کردم زدم کانکت شه بازم کانکت نشد
لاگ هاشم ایناس
میتونی راهنماییم کنی ؟

کد: [انتخاب]


Feb 22 20:51:43 racoon: [pfsense wan site b]: [192.168.20.41] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 192.168.20.41[0]->192.168.20.40[0]
Feb 22 20:51:43 racoon: INFO: delete phase 2 handler.
Feb 22 20:51:43 racoon: [pfsense wan site b]: [192.168.20.41] INFO: request for establishing IPsec-SA was queued due to no phase1 found.
Feb 22 20:52:01 racoon: ERROR: phase1 negotiation failed due to time up. 16146c05610f0cc3:0000000000000000
Feb 22 20:52:15 racoon: [pfsense wan site b]: [192.168.20.41] ERROR: phase2 negotiation failed due to time up waiting for phase1 [Remote Side not responding]. ESP 192.168.20.41[0]->192.168.20.40[0]
Feb 22 20:52:15 r



[abyz]

با توجه به متن خطا من این لینک رو پیدا کردم

https://forum.pfsense.org/index.php?topic=45502.0

معنی این خطا اینه که pfsense‌ ها همدیگه رو پیدا نمیکنن و خلاصه بحث‌های این لینکه اینه که یا

پورت 500 udp به درستی باز نشده و ارتباط دو طرفه اونها وجود نداره.
پیشنهاد حل این مشکل هم اینه که اول تنظیمات رو دوباره چک کنید.
دوما با استفاده از packet capture توی منوی diagnostic‌ ببینی که آیا روی ان پورت در دو طرف پکت میبینی یا نه

[mohammadreza73]

مرسی ازت دوست عزیز با توجه به دایکیومنت های pfsense  به نتیاجی رسیدم که به نظرم مشکل از رنج ای پی هاست  و مشکل میتنوه توی subneting  باشه
این پاراگراف رو مطالعه کنید اگر مشکلی بر خوردید مثل من

Both locations must be using non-overlapping LAN IP subnets.

    For example, if both sites are using 192.168.1.0/24 on the LAN, no site to site VPN will work. This is not a limitation in pfSense, it's basic IP routing. When any host on either of the networks tries to communicate with 192.168.1.0/24, it will consider that host to be on its local LAN and the packets will never reach pfSense to be passed over the VPN connection. Similarly, if one site is using, for example, 192.168.0.0/16 and one using 192.168.1.0/24, these subnets are also overlapping and a site to site VPN will not work. Keep in mind the more networks that are linked together the more important this basic fact becomes. Do not use unnecessarily large subnet masks. If the LAN is 10.0.0.0/8, but it only has 100 hosts on it, that is unnecessarily limiting the ability to add VPN networks anywhere in the 10.x.x.x space. NAT can work around scenarios where there are conflicting subnets, though it's preferable to avoid NAT in such circumstances and may be a requirement depending on what kind of functionality is required across the VPN.

امیدوارم با تعویض رنج ها و سابنت ها مشکل حل شه
این ارور  هایی هم که شما گفتی حتما رسیدگیشون میکنم