The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense"  +/
Сообщение от _John_ (ok), 27-Май-21, 14:04 
Здравствуйте!

Нужно подключиться к удаленному ресурсу через IPSec туннель.
Есть компьютер с установленной PFSense, создал туннель (Routed VTI):

Удаленный пир - 10.179.10.10
локальная подсеть - 10.209.10.10/29
удаленная подсеть - 10.176.40.0/24

туннель создался, ошибок нет.

Потом назначил интерфейс к созданному туннелю - OPT2 и включил его.

В файерволе IPSec разрешил все протоколы.

Могу пропинговать с машины с PFSense с интерфейса OPT2 ресурсы в удаленной сети.

Теперь добавляю статический маршрут - 10.176.40.0 -> OPT2_VTIV4-10.179.10.10

Но из локальной сети (и любых других интерфейсов кроме OPT2 на PFSense) не могу пропинговать ничего в удаленной подсети...

В файрволе в IPSec счетчики по нулям.

Подскажите кто настраивал такое, что еще нужно для корректной работы?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 27-Май-21, 14:32   +/
> Подскажите кто настраивал такое, что еще нужно для корректной работы?

NAT?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2

2. Сообщение от _John_ (ok), 27-Май-21, 14:36   +/
>> Подскажите кто настраивал такое, что еще нужно для корректной работы?
> NAT?

Это маршрутизируемый режим, после добавления статического маршрута записи в нат он сам создает

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #3

3. Сообщение от Аноним (1), 27-Май-21, 16:50   +/
>>> Подскажите кто настраивал такое, что еще нужно для корректной работы?
>> NAT?
> Это маршрутизируемый режим, после добавления статического маршрута записи в нат он сам
> создает

Тогда больше ничего не нужно.

Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4

4. Сообщение от _John_ (ok), 27-Май-21, 17:06   +/
>>>> Подскажите кто настраивал такое, что еще нужно для корректной работы?
>>> NAT?
>> Это маршрутизируемый режим, после добавления статического маршрута записи в нат он сам
>> создает
> Тогда больше ничего не нужно.
> Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...

В файерволе вроде особо и ничего не нужно, запрещающих правил нет подходящих. Нат правила создаются. Даже не знаю куда копать(

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #5

5. Сообщение от Аноним (1), 27-Май-21, 17:48   +/
>> Тогда больше ничего не нужно.
>> Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...
> В файерволе вроде особо и ничего не нужно, запрещающих правил нет подходящих.
> Нат правила создаются. Даже не знаю куда копать(

А тогда еще дурацкий такой вопрос - хождение трафика между интерфейсами разрешено?
А то тоже недавно голову сломал с vpn, когда забыл про gateway_enable="yes"


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #6

6. Сообщение от John_email (?), 27-Май-21, 17:54   +/
>>> Тогда больше ничего не нужно.
>>> Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...
>> В файерволе вроде особо и ничего не нужно, запрещающих правил нет подходящих.
>> Нат правила создаются. Даже не знаю куда копать(
> А тогда еще дурацкий такой вопрос - хождение трафика между интерфейсами разрешено?
> А то тоже недавно голову сломал с vpn, когда забыл про gateway_enable="yes"

Хм, надо проверить! Завтра с утра займусь. Спасибо!

Надо проверить! Завтра с утра займусь! Спасибо!


Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #7

7. Сообщение от _John_ (ok), 28-Май-21, 12:58   +/
>>>> Тогда больше ничего не нужно.
>>>> Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...
>>> В файерволе вроде особо и ничего не нужно, запрещающих правил нет подходящих.
>>> Нат правила создаются. Даже не знаю куда копать(
>> А тогда еще дурацкий такой вопрос - хождение трафика между интерфейсами разрешено?
>> А то тоже недавно голову сломал с vpn, когда забыл про gateway_enable="yes"
> Хм, надо проверить! Завтра с утра займусь. Спасибо!
> Надо проверить! Завтра с утра займусь! Спасибо!

Нет, не хочет...
Из своей локальной сети могу пропинговать только локальную сеть заданную в настройках IPSec.
С PFsense могу пропинговать и ресурсы в удаленной сети, но только с одного интерфейса - того, с которым сопряжен IPSec туннель

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #8

8. Сообщение от kobaspam (?), 02-Июн-21, 16:29   +/
>[оверквотинг удален]
>>>> Нат правила создаются. Даже не знаю куда копать(
>>> А тогда еще дурацкий такой вопрос - хождение трафика между интерфейсами разрешено?
>>> А то тоже недавно голову сломал с vpn, когда забыл про gateway_enable="yes"
>> Хм, надо проверить! Завтра с утра займусь. Спасибо!
>> Надо проверить! Завтра с утра займусь! Спасибо!
> Нет, не хочет...
> Из своей локальной сети могу пропинговать только локальную сеть заданную в настройках
> IPSec.
> С PFsense могу пропинговать и ресурсы в удаленной сети, но только с
> одного интерфейса - того, с которым сопряжен IPSec туннель

Не понятно зачем вообще создавать интерфейс и прописывать маршрутизацию. Если сосздавался site-by-site то при создание уже указывалисть локальная и удаленная подсеть и этого достаточно что бы все работало, при условия что "концы" туннеля в своих подсетях указаны как GW или как GW для удаленных сетей соотвественно?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #9

9. Сообщение от _John_ (ok), 02-Июн-21, 16:33   +/
>[оверквотинг удален]
>> Нет, не хочет...
>> Из своей локальной сети могу пропинговать только локальную сеть заданную в настройках
>> IPSec.
>> С PFsense могу пропинговать и ресурсы в удаленной сети, но только с
>> одного интерфейса - того, с которым сопряжен IPSec туннель
> Не понятно зачем вообще создавать интерфейс и прописывать маршрутизацию. Если сосздавался
> site-by-site то при создание уже указывалисть локальная и удаленная подсеть и
> этого достаточно что бы все работало, при условия что "концы" туннеля
> в своих подсетях указаны как GW или как GW для удаленных
> сетей соотвественно?

Нет, дефолтный GW не в туннель. В туннель только часть трафика

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #10

10. Сообщение от kobaspam (?), 02-Июн-21, 16:40   +/
>[оверквотинг удален]
>>> Из своей локальной сети могу пропинговать только локальную сеть заданную в настройках
>>> IPSec.
>>> С PFsense могу пропинговать и ресурсы в удаленной сети, но только с
>>> одного интерфейса - того, с которым сопряжен IPSec туннель
>> Не понятно зачем вообще создавать интерфейс и прописывать маршрутизацию. Если сосздавался
>> site-by-site то при создание уже указывалисть локальная и удаленная подсеть и
>> этого достаточно что бы все работало, при условия что "концы" туннеля
>> в своих подсетях указаны как GW или как GW для удаленных
>> сетей соотвественно?
> Нет, дефолтный GW не в туннель. В туннель только часть трафика

Да не про это в локальной сети fpsence = GW? в удаленной подсети их девайс = GW? если да проблем нет, если нет то в своей сети пропишите на локальных компах маршрут до удаленной через свой pfsence. В удаленной сети, если тоже нет, прописать на локальных компах маршрут в Вашу сеть через из "стройство". Не нужно подымать ни какого интерфейса и прописывать на "роутерах" какие либо маршруты, наты и т.д. Это не работает. Это "чистый" ipsec, не вложенный в какой либо ppp.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #11

11. Сообщение от _John_ (ok), 02-Июн-21, 16:54   +/
>[оверквотинг удален]
>>> сетей соотвественно?
>> Нет, дефолтный GW не в туннель. В туннель только часть трафика
> Да не про это в локальной сети fpsence = GW? в удаленной
> подсети их девайс = GW? если да проблем нет, если нет
> то в своей сети пропишите на локальных компах маршрут до удаленной
> через свой pfsence. В удаленной сети, если тоже нет, прописать на
> локальных компах маршрут в Вашу сеть через из "стройство". Не нужно
> подымать ни какого интерфейса и прописывать на "роутерах" какие либо маршруты,
> наты и т.д. Это не работает. Это "чистый" ipsec, не вложенный
> в какой либо ppp.

Нет GW не совпадают. Попробую маршрутами с локальных компов. Спасибо!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру