The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense"  +/
Сообщение от _John_ (ok), 27-Май-21, 14:04 
Здравствуйте!

Нужно подключиться к удаленному ресурсу через IPSec туннель.
Есть компьютер с установленной PFSense, создал туннель (Routed VTI):

Удаленный пир - 10.179.10.10
локальная подсеть - 10.209.10.10/29
удаленная подсеть - 10.176.40.0/24

туннель создался, ошибок нет.

Потом назначил интерфейс к созданному туннелю - OPT2 и включил его.

В файерволе IPSec разрешил все протоколы.

Могу пропинговать с машины с PFSense с интерфейса OPT2 ресурсы в удаленной сети.

Теперь добавляю статический маршрут - 10.176.40.0 -> OPT2_VTIV4-10.179.10.10

Но из локальной сети (и любых других интерфейсов кроме OPT2 на PFSense) не могу пропинговать ничего в удаленной подсети...

В файрволе в IPSec счетчики по нулям.

Подскажите кто настраивал такое, что еще нужно для корректной работы?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense"  +/
Сообщение от Аноним (1), 27-Май-21, 14:32 
> Подскажите кто настраивал такое, что еще нужно для корректной работы?

NAT?

Ответить | Правка | Наверх | Cообщить модератору

2. "PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense"  +/
Сообщение от _John_ (ok), 27-Май-21, 14:36 
>> Подскажите кто настраивал такое, что еще нужно для корректной работы?
> NAT?

Это маршрутизируемый режим, после добавления статического маршрута записи в нат он сам создает

Ответить | Правка | Наверх | Cообщить модератору

3. "PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense"  +/
Сообщение от Аноним (1), 27-Май-21, 16:50 
>>> Подскажите кто настраивал такое, что еще нужно для корректной работы?
>> NAT?
> Это маршрутизируемый режим, после добавления статического маршрута записи в нат он сам
> создает

Тогда больше ничего не нужно.

Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...


Ответить | Правка | Наверх | Cообщить модератору

4. "PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense"  +/
Сообщение от _John_ (ok), 27-Май-21, 17:06 
>>>> Подскажите кто настраивал такое, что еще нужно для корректной работы?
>>> NAT?
>> Это маршрутизируемый режим, после добавления статического маршрута записи в нат он сам
>> создает
> Тогда больше ничего не нужно.
> Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...

В файерволе вроде особо и ничего не нужно, запрещающих правил нет подходящих. Нат правила создаются. Даже не знаю куда копать(

Ответить | Правка | Наверх | Cообщить модератору

5. "PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense"  +/
Сообщение от Аноним (1), 27-Май-21, 17:48 
>> Тогда больше ничего не нужно.
>> Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...
> В файерволе вроде особо и ничего не нужно, запрещающих правил нет подходящих.
> Нат правила создаются. Даже не знаю куда копать(

А тогда еще дурацкий такой вопрос - хождение трафика между интерфейсами разрешено?
А то тоже недавно голову сломал с vpn, когда забыл про gateway_enable="yes"


Ответить | Правка | Наверх | Cообщить модератору

6. "PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense"  +/
Сообщение от John_email (?), 27-Май-21, 17:54 
>>> Тогда больше ничего не нужно.
>>> Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...
>> В файерволе вроде особо и ничего не нужно, запрещающих правил нет подходящих.
>> Нат правила создаются. Даже не знаю куда копать(
> А тогда еще дурацкий такой вопрос - хождение трафика между интерфейсами разрешено?
> А то тоже недавно голову сломал с vpn, когда забыл про gateway_enable="yes"

Хм, надо проверить! Завтра с утра займусь. Спасибо!

Надо проверить! Завтра с утра займусь! Спасибо!


Ответить | Правка | Наверх | Cообщить модератору

7. "PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense"  +/
Сообщение от _John_ (ok), 28-Май-21, 12:58 
>>>> Тогда больше ничего не нужно.
>>>> Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...
>>> В файерволе вроде особо и ничего не нужно, запрещающих правил нет подходящих.
>>> Нат правила создаются. Даже не знаю куда копать(
>> А тогда еще дурацкий такой вопрос - хождение трафика между интерфейсами разрешено?
>> А то тоже недавно голову сломал с vpn, когда забыл про gateway_enable="yes"
> Хм, надо проверить! Завтра с утра займусь. Спасибо!
> Надо проверить! Завтра с утра займусь! Спасибо!

Нет, не хочет...
Из своей локальной сети могу пропинговать только локальную сеть заданную в настройках IPSec.
С PFsense могу пропинговать и ресурсы в удаленной сети, но только с одного интерфейса - того, с которым сопряжен IPSec туннель

Ответить | Правка | Наверх | Cообщить модератору

8. "PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense"  +/
Сообщение от kobaspam (?), 02-Июн-21, 16:29 
>[оверквотинг удален]
>>>> Нат правила создаются. Даже не знаю куда копать(
>>> А тогда еще дурацкий такой вопрос - хождение трафика между интерфейсами разрешено?
>>> А то тоже недавно голову сломал с vpn, когда забыл про gateway_enable="yes"
>> Хм, надо проверить! Завтра с утра займусь. Спасибо!
>> Надо проверить! Завтра с утра займусь! Спасибо!
> Нет, не хочет...
> Из своей локальной сети могу пропинговать только локальную сеть заданную в настройках
> IPSec.
> С PFsense могу пропинговать и ресурсы в удаленной сети, но только с
> одного интерфейса - того, с которым сопряжен IPSec туннель

Не понятно зачем вообще создавать интерфейс и прописывать маршрутизацию. Если сосздавался site-by-site то при создание уже указывалисть локальная и удаленная подсеть и этого достаточно что бы все работало, при условия что "концы" туннеля в своих подсетях указаны как GW или как GW для удаленных сетей соотвественно?

Ответить | Правка | Наверх | Cообщить модератору

9. "PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense"  +/
Сообщение от _John_ (ok), 02-Июн-21, 16:33 
>[оверквотинг удален]
>> Нет, не хочет...
>> Из своей локальной сети могу пропинговать только локальную сеть заданную в настройках
>> IPSec.
>> С PFsense могу пропинговать и ресурсы в удаленной сети, но только с
>> одного интерфейса - того, с которым сопряжен IPSec туннель
> Не понятно зачем вообще создавать интерфейс и прописывать маршрутизацию. Если сосздавался
> site-by-site то при создание уже указывалисть локальная и удаленная подсеть и
> этого достаточно что бы все работало, при условия что "концы" туннеля
> в своих подсетях указаны как GW или как GW для удаленных
> сетей соотвественно?

Нет, дефолтный GW не в туннель. В туннель только часть трафика

Ответить | Правка | Наверх | Cообщить модератору

10. "PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense"  +/
Сообщение от kobaspam (?), 02-Июн-21, 16:40 
>[оверквотинг удален]
>>> Из своей локальной сети могу пропинговать только локальную сеть заданную в настройках
>>> IPSec.
>>> С PFsense могу пропинговать и ресурсы в удаленной сети, но только с
>>> одного интерфейса - того, с которым сопряжен IPSec туннель
>> Не понятно зачем вообще создавать интерфейс и прописывать маршрутизацию. Если сосздавался
>> site-by-site то при создание уже указывалисть локальная и удаленная подсеть и
>> этого достаточно что бы все работало, при условия что "концы" туннеля
>> в своих подсетях указаны как GW или как GW для удаленных
>> сетей соотвественно?
> Нет, дефолтный GW не в туннель. В туннель только часть трафика

Да не про это в локальной сети fpsence = GW? в удаленной подсети их девайс = GW? если да проблем нет, если нет то в своей сети пропишите на локальных компах маршрут до удаленной через свой pfsence. В удаленной сети, если тоже нет, прописать на локальных компах маршрут в Вашу сеть через из "стройство". Не нужно подымать ни какого интерфейса и прописывать на "роутерах" какие либо маршруты, наты и т.д. Это не работает. Это "чистый" ipsec, не вложенный в какой либо ppp.

Ответить | Правка | Наверх | Cообщить модератору

11. "PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense"  +/
Сообщение от _John_ (ok), 02-Июн-21, 16:54 
>[оверквотинг удален]
>>> сетей соотвественно?
>> Нет, дефолтный GW не в туннель. В туннель только часть трафика
> Да не про это в локальной сети fpsence = GW? в удаленной
> подсети их девайс = GW? если да проблем нет, если нет
> то в своей сети пропишите на локальных компах маршрут до удаленной
> через свой pfsence. В удаленной сети, если тоже нет, прописать на
> локальных компах маршрут в Вашу сеть через из "стройство". Не нужно
> подымать ни какого интерфейса и прописывать на "роутерах" какие либо маршруты,
> наты и т.д. Это не работает. Это "чистый" ipsec, не вложенный
> в какой либо ppp.

Нет GW не совпадают. Попробую маршрутами с локальных компов. Спасибо!

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру