Выход в интернет через pfsense. - pfsense, GRE, Ipsec с mikrotik

@dj-12l · Регистрация: 22.02.2016

Студворк — интернет-сервис помощи студентам

Добрый день.
Подскажите пожалуйста, может кто видел и знает, как настроить Gre tunel с ipsec на mikrotik hap ac2 (lite) и сервер pfsense.
Задача, чтобы устройства которые за MikroTik выходили в интернет с устройства, где pfsense.

@insect_87 · 22.11.2019, 16:57

со стороны микротика могу подсказать как настроить, pfsense не юзал
https://habr.com/ru/post/351044/ - такой роутер?

GUI на pfsense есть?

@dj-12l · 22.11.2019, 17:07 **[ТС]**

Сообщение от insect_87

GUI на pfsense есть?

да такой тик
ну есть web морда.
Что то такое видел, но всё не то. хочу собрать полную схему:
https://forum.mikrotik.com/viewtopic.php?t=147243

@insect_87 · 22.11.2019, 17:19

Аутентификация по ключу?

@dj-12l · 22.11.2019, 17:26 **[ТС]**

Сообщение от insect_87

Аутентификация по ключу?

Пока что это дефолтный скинутый Mikrotik. Вроде туннель с ключевым словом, т.к. это не openvpn

@insect_87 · 22.11.2019, 17:38

Можно и сертификаты.
Так в чем проблема настройки возникла?

Настройки идентичные с обеих сторон

@dj-12l · 22.11.2019, 17:44 **[ТС]**

Сообщение от insect_87

Настройки идентичные с обеих сторон

Сейчас нет настроек. Есть чистый pfsense и чистый mikrotik.
Так вот я и прошу расписать порядок, что требуется сделать со всех сторон.
создать интерфейс, добавить правило и тд. Единой инструкции для этого не нашел, тем более ipsec

@insect_87 · 22.11.2019, 18:00

))) это настроить быстрее, чем обьяснить.

Настройте пока чистый ipsec без политики шифрования, фазу 1
В качестве ip sa - внешние белые адреса микротика и pfsense.

Затем gre с обеих сторон

В качестве tunnel src и dst адресов - внешние белые адреса микротика и pfsense.

Потом ipsec фаза 2: шифровать gre (номер протокола 47) трафик между белыми внешними адресами микротика и pfsense, используя esp, в транспортном режиме

@dj-12l · 25.11.2019, 00:28 **[ТС]**

Сообщение от insect_87

В качестве tunnel src и dst адресов - внешние белые адреса микротика и pfsense.

Где в настройках pocies есть параметры туннеля Ipsec?

Настроил GRE туннель с pfsense, трафик ходит, в интернет выходит. по трассировке отображается pfsense в шаге.
Настроил Ipsec , поднялось соединение. ph2 в статусе established, но если посмотреть на вкладку Sa то пакеты там не движутся. Сделан routes 0.0.0.0/0 на туннель GRE.
что требуется ещё сделать?

Добавлено через 1 минуту

Сообщение от insect_87

Потом ipsec фаза 2: шифровать gre (номер протокола 47) трафик между белыми внешними адресами микротика и pfsense, используя esp, в транспортном режиме

Или нужно 2 отдельно поднимать ipsec?

@dj-12l · 25.11.2019, 00:57 **[ТС]**

вот, теперь так показывается и движение вроде как идет. но как проверить что всё точно шифруется?
скрин:

Кликните здесь для просмотра всего текста

Выход в интернет через pfsense. - pfsense, GRE, Ipsec с mikrotik

@insect_87 · 25.11.2019, 06:34

Покажите все настройки с обеих сторон, и gre, и ipsec
Белые адреса и ключи можете закрасить

@dj-12l · 25.11.2019, 09:20 **[ТС]**

Сообщение от insect_87

Покажите все настройки с обеих сторон, и gre, и ipsec

Pfsense:
Интерфейсы:

Кликните здесь для просмотра всего текста

фаервол:

Кликните здесь для просмотра всего текста

@dj-12l · 25.11.2019, 09:25 **[ТС]**

Pfsense

Настройки GRE туннеля:

Кликните здесь для просмотра всего текста

Ipsec:

Кликните здесь для просмотра всего текста

@insect_87 · 25.11.2019, 09:31

с микротика из terminal:
выложите

Code
1
2
3
4
interface gre export compact 
ip address export compact 
ip ipsec export compact 
ip firewall export compact

у вас адреса с обеих сторон белые?

@dj-12l · 25.11.2019, 09:44 **[ТС]**

Сообщение от insect_87

у вас адреса с обеих сторон белые?

Сейчас схема такая, что pfsense на exsi, и отдельно mikrotik.
Главный тик, для выхода в интернет 192.168.100.1, весь тестовый стенд за ним.

потом pfsense Подключен к 100.1, получив адрес 100.25.
у микротика, на котором поднят GRE / ipsec 192.168.100.24.
к тику 100.24 подключена ещё компьютер, с которого идет проверка трафика и нагрузка.

Mikrotik настройки:

Кликните здесь для просмотра всего текста

[admin@MikroTik] > interface gre export compact
# nov/25/2019 09:43:20 by RouterOS 6.45.7
# software id = 5XCA
#
# model = RB952Ui-5ac2nD
# serial number = 8E980AE9GGE4
/interface gre
add !keepalive local-address=192.168.100.24 name=gre-tunnel1 remote-address=192.168.100.25

/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
add address=10.0.10.2/30 interface=gre-tunnel1 network=10.0.10.0

/ip ipsec profile
add dh-group=modp1024 dpd-interval=10s enc-algorithm=aes-256 hash-algorithm=sha256 name=ph1 nat-traversal=no

/ip ipsec peer
add address=10.0.10.1/32 exchange-mode=ike2 local-address=10.0.10.2 name=ph2 profile=ph1

/ip ipsec proposal
set [ find default=yes ] disabled=yes
add auth-algorithms=sha256,sha1,md5 enc-algorithms=aes-256-cbc name=ph2

/ip ipsec identity
add comment=test!test! my-id=address:10.0.10.2 notrack-chain=output peer=ph2 secret=test!test!

/ip ipsec policy
set 0 disabled=yes
add dst-address=10.0.10.1/32 level=unique peer=ph2 proposal=ph2 src-address=10.0.10.2/32

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=accept chain=input protocol=gre
add action=accept chain=input comment=ipsec protocol=ipsec-esp
add action=accept chain=input comment=ike dst-port=500,4500 protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=input comment="temp for winbox" src-address=192.168.100.100
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward in-interface=gre-tunnel1
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

/ip firewall nat
add action=accept chain=srcnat dst-address=10.0.10.0/30 out-interface=gre-tunnel1 src-address=192.168.88.0/24 to-addresses=192.168.10.2
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

p.s. заметил осталось правило для 192.168.10.2 - потом я поменял адресацию с 192.168.10.1-2 на 10.0.10.1-2 для туннеля GRE

@insect_87 · 25.11.2019, 10:10

/interface gre
add !keepalive local-address=192.168.100.24 name=gre-tunnel1 remote-address=192.168.100.25

Code
1
allow-fast-path=no

/ip ipsec profile
add dh-group=modp1024 dpd-interval=10s enc-algorithm=aes-256 hash-algorithm=sha256 name=ph1 nat-traversal=no

все отлично, но по мне, так хватило бы aes-128

/ip ipsec proposal
set [ find default=yes ] disabled=yes
add auth-algorithms=sha256,sha1,md5 enc-algorithms=aes-256-cbc name=ph2

аналогично, хватило бы aes-128-cbc

/ip ipsec peer
add address=10.0.10.1/32 exchange-mode=ike2 local-address=10.0.10.2 name=ph2 profile=ph1

Code
1
2
/ip ipsec peer
add address=192.168.100.25/32 exchange-mode=ike2 local-address=192.168.100.24/32 name=ph2 profile=ph1

/ip ipsec identity
add comment=test!test! my-id=address:10.0.10.2 notrack-chain=output peer=ph2 secret=test!test!

Code
1
my-id=auto

/ip ipsec policy
set 0 disabled=yes
add dst-address=10.0.10.1/32 level=unique peer=ph2 proposal=ph2 src-address=10.0.10.2/32

/ip ipsec policy

Code
1
2
set 0 disabled=yes
add dst-address=192.168.100.25/32 level=unique peer=ph2 proposal=ph2 src-address=192.168.100.24/32 protocol=gre

со стороны Pfsense - все по аналогии
PH1
PEER 192.168.100.24/32
mode IKEv2
шифрование, хэш и DH-group, ключ - по аналогии с микротиком

PH2
шифрование, хэш и DH-group - по аналогии с микротиком
mode Transport / (NO Tunnel!!!)
Политика -
ЕСЛИ src 192.168.100.25/32 dst 192.168.100.24/32 protocol GRE (47)
ТО encrypt ESP

@dj-12l · 25.11.2019, 10:29 **[ТС]**

Можете пояснить по поводу ph1 и ph2. Полагаю это как раз фазы, настройки первой фазы настраиваются в разделе /ip ipsec profile, а фаза 2 в /ip ipsec proposal ?

первоначально я брал информацию с этой статьи, но в ней видать код старой версии routeros т.к. у меня вышел другой код, и другие поля. статья

насчёт шифрования, то я ставил как в статье, и у меня вылетали ошибки в логе:

Code
1
2
3
4
5
6
7
8
9
10
11
ipsec,info killing ike2 SA: 10.0.10.2[4500]-10.0.10.1[4500] spi:303ef204d8f0aec8:b14560a8415c8485 
ipsec,info new ike2 SA (I): 10.0.10.2[4500]-10.0.10.1[4500] spi:7ebcce72d4076999:9067c06794a150f3 
ipsec,info,account peer authorized: 10.0.10.2[4500]-10.0.10.1[4500] pi:7ebcce72d4076999:9067c06794a150f3 
ipsec,info killing ike2 SA: 10.0.10.2[4500]-10.0.10.1[4500] spi:7ebcce72d4076999:9067c06794a150f3 
ipsec,info new ike2 SA (I): 10.0.10.2[4500]-10.0.10.1[4500] spi:06dba2c58fa0210b:39658f597839867e 
ipsec,info,account peer authorized: 10.0.10.2[4500]-10.0.10.1[4500] spi:06dba2c58fa0210b:39658f597839867e 
system,info,account user admin logged in from 192.168.100.100 via telnet 
ipsec,info killing ike2 SA: 10.0.10.2[4500]-10.0.10.1[4500] spi:06dba2c58fa0210b:39658f597839867e 
system,info ipsec peer ph2 changed by admin 
ipsec,error killing ike2 SA:::ffff:192.168.100.24<->::ffff:192.168.100.25 
ipsec,error killing ike2 SA:::ffff:192.168.100.24<->::ffff:192.168.100.25

можно поподробнее узнать, сначала поднимается Ipsec потом gre или сначала gre?
Потом, сейчас у меня указаны внутренние адреса внутри GRE, нужно по внешним адрес делать адресацию?

Сейчас с такими настройками, тестовая машина за Mikrotik выходит в интернет следующим маршрутом, но если с самого тика пинговать ресурсы, то timeout.
скриншот:

Кликните здесь для просмотра всего текста

@insect_87 · 25.11.2019, 10:55

можно поподробнее узнать, сначала поднимается Ipsec потом gre или сначала gre?

в моем примере без ipsec gre не поднимется
то есть gre внтури ipsec / gre over ipsec / gre через ipsec

Полагаю это как раз фазы, настройки первой фазы настраиваются в разделе /ip ipsec profile, а фаза 2 в /ip ipsec proposal ?

да.

сейчас у меня указаны внутренние адреса внутри GRE, нужно по внешним адрес делать адресацию?

в реале - да

я написал как правильно построить туннель GRE over IPSEC Transport на микротике. Потом при переносе на реальные белые адреса, адреса 192.168.100.24/32 и 192.168.100.25/32 в конфигах заменятся на реальные белые

Сейчас с такими настройками, тестовая машина за Mikrotik выходит в интернет следующим маршрутом, но если с самого тика пинговать ресурсы, то timeout.

ping 8.8.8.8 src-address=192.168.100.25

трасса с клиента - уходит в туннель, что у вас там с маршрутами?

ЗЫ
для моей настройки это правило, и оно вообще кривое, кстати

/ip firewall nat
add action=accept chain=srcnat dst-address=10.0.10.0/30 out-interface=gre-tunnel1 src-address=192.168.88.0/24 to-addresses=192.168.10.2

выключите

по ссылке настраивали, как и я.
только у них шифруется весь трафик между белыми адресами, а у меня только GRE

@dj-12l · 25.11.2019, 11:06 **[ТС]**

Сообщение от insect_87

то есть gre внтури ipsec / gre over ipsec / gre через ipsec

По правильному, требуется сначала поднимать ipsec и уже внутри него GRE?

Сообщение от insect_87

я написал как правильно построить туннель GRE over IPSEC Transport на микротике. Потом при переносе на реальные белые адреса, адреса 192.168.100.24/32 и 192.168.100.25/32 в конфигах заменятся на реальные белые

возможно сделать верный конфиг из того, что я скинул? сейчас подправлю и постараюсь выложить.

Сообщение от insect_87

по ссылке настраивали, как и я.

Как правильнее, всё между белыми шифровать или GRE?
по-идеи требуется вывести тик через заграницу, и поэтому не хотелось оставлять трафик открытым всем.

Сообщение от insect_87

со стороны Pfsense - все по аналогии
PH1
PEER 192.168.100.24/32
mode IKEv2
шифрование, хэш и DH-group, ключ - по аналогии с микротиком
PH2
шифрование, хэш и DH-group - по аналогии с микротиком
mode Transport / (NO Tunnel!!!)
Политика -
ЕСЛИ src 192.168.100.25/32 dst 192.168.100.24/32 protocol GRE (47)
ТО encrypt ESP

Это настройки pfsense? по-идеи так и настроено, только шифрование поменять, чтобы снизить нагрузку?

о какой политике речь идет, pfsense?

@insect_87 · 25.11.2019, 11:10

Вы сначала настройте GRE over IPSEC/Transport.
Уберите лишние правила для ната.
В файрволле на input открыть UDP 500 и протоколы ESP (50) GRE 47 от соответствующего SRC-ADDRESS
(192.168.100.25 на файрволле у микротика, 192.168.100.24 на файрволле Pfsense)
А потом уже настроите маршрутизацию - статическую или OSPF

Новые блоги и статьи Все статьи Все блоги /
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .
Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .

@dj-12l 85 / 1 / 0 Регистрация: 22.02.2016 Сообщений: 103

	Выход в интернет через pfsense. - pfsense, GRE, Ipsec с mikrotik 22.11.2019, 16:45. Показов 13772. Ответов 30 Метки gre, ipsec, mikrotik, pfsense (Все метки) Добрый день. Подскажите пожалуйста, может кто видел и знает, как настроить Gre tunel с ipsec на mikrotik hap ac2 (lite) и сервер pfsense. Задача, чтобы устройства которые за MikroTik выходили в интернет с устройства, где pfsense. 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	22.11.2019, 16:57
	со стороны микротика могу подсказать как настроить, pfsense не юзал https://habr.com/ru/post/351044/ - такой роутер? GUI на pfsense есть? 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	22.11.2019, 17:19
	Аутентификация по ключу? 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	22.11.2019, 17:38
	Можно и сертификаты. Так в чем проблема настройки возникла? Настройки идентичные с обеих сторон 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	22.11.2019, 18:00
	))) это настроить быстрее, чем обьяснить. Настройте пока чистый ipsec без политики шифрования, фазу 1 В качестве ip sa - внешние белые адреса микротика и pfsense. Затем gre с обеих сторон В качестве tunnel src и dst адресов - внешние белые адреса микротика и pfsense. Потом ipsec фаза 2: шифровать gre (номер протокола 47) трафик между белыми внешними адресами микротика и pfsense, используя esp, в транспортном режиме 0

@dj-12l 85 / 1 / 0 Регистрация: 22.02.2016 Сообщений: 103
	25.11.2019, 00:57 [ТС]
	вот, теперь так показывается и движение вроде как идет. но как проверить что всё точно шифруется? скрин: Кликните здесь для просмотра всего текста 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	25.11.2019, 06:34
	Покажите все настройки с обеих сторон, и gre, и ipsec Белые адреса и ключи можете закрасить 0

@dj-12l 85 / 1 / 0 Регистрация: 22.02.2016 Сообщений: 103
	25.11.2019, 09:25 [ТС]
	Pfsense Настройки GRE туннеля: Кликните здесь для просмотра всего текста Ipsec: Кликните здесь для просмотра всего текста 0

@insect_87 11438 / 7007 / 1903 Регистрация: 25.12.2012 Сообщений: 29,402
	25.11.2019, 11:10
	Вы сначала настройте GRE over IPSEC/Transport. Уберите лишние правила для ната. В файрволле на input открыть UDP 500 и протоколы ESP (50) GRE 47 от соответствующего SRC-ADDRESS (192.168.100.25 на файрволле у микротика, 192.168.100.24 на файрволле Pfsense) А потом уже настроите маршрутизацию - статическую или OSPF 0