@werter да, моя, все руки не дойдут немного подправить, к сожалению мои пути с предприятием тем разошлись и я не успел реализовать тоже самое с использованием pf2ad, но мне в принципе и этот вариант понравился, в итоге даже антивирус заработал при небольших манипуляциях.

@Виталий said in Маршрутизация LAN-LAN:

что вы имеете ввиду под DMZ?

Если грубо - из сети DMZ обычно нет никакого\есть управляемый доступ а LAN. Не путать с тем, что называют DMZ в бытовых роутерах.

@MythOfTheLight said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

По этим гайдам и делал, сейчас смотрю - в них правки, добавлен пункт "iroute"

Странно, если вы о тех гайдах, ссылки на которые я приводил, iroute там было с момента публикации еще на старом форуме.. Возможно вы путаете с OpenVPN PSK: Site-to-Site - там iroute просто не нужен.

@MythOfTheLight said in Связь между OpenVPN сетями Peer-to-Peer и Remote Access:

Ну и клиентам Peer-to-Peer SSL/TLS надо сообщить, что существует сеть Remote Access 10.20.10.0/24"
Добавил, рестартанул, всё работает.....

Забыть об обратном маршруте - частая ошибка.

@dTinside

Для вашего Кинетика должен быть Padavan, к-ый гораздо интереснее, чем родная прошивка. Поищите на 4pda.

Вероятно кто то найдёт этот пост на просторах тырнетов, проблема решается следующим путём:

pfSense здания A является сервером peer-to-peer (ssl/tls)
IPv4 Tunnel Network - 10.0.8.0/24
IPv4 Local network(s) - 192.168.10.0/24 (вместо ХХХ своя сеть)
IPv4 Remote network(s) - 192.168.11.0/24, 192.168.12.0/24
параметры Client Specific Overrides:
Common Name - имя сертификата выданного через пфсенс для клиента B
Advanced - iroute 192.168.11.0 255.255.255.0
Common Name - имя сертификата выданного через пфсенс для клиента C
Advanced - iroute 192.168.12.0 255.255.255.0

pfSense здания B является клиентом peer-to-peer (ssl/tls)
IPv4 Remote network(s) - 192.168.10.0/24, 192.168.12.0/24 (сеть головного и сеть второго филиала)

pfSense здания C является клиентом peer-to-peer (ssl/tls)
IPv4 Remote network(s) - 192.168.10.0/24, 192.168.11.0/24 (сеть головного и сеть первого филиала)
делается всё по стандартным инструкциям с просторов интернета

@werter
Точки доступа.
Но уже понял в чем причина.
На точках доступа изначально заданы статические IP.
pfsense не отображает это в dhcp аренде.
только когда создаешь статическую связку в dhcp сервисе, pfsense отображает статически связанные адреса.
Итого - нужно связывать статические адреса host'ов с их MAC-адресами, тогда все клиенты dhcp видны в dhcp аренде.
Важно - чтобы диапазон статических ip адресов не пересекался с диапазоном динамически выдаваемых ip адресов.
Надеюсь понятно расписал.

@Konstanti тогда ждем очередного происшествия, я попробую снять tcdump.
как посмотреть какие правила загружены в память? если честно я до этого момента думал,ч то все, что указано в списке правил - загружается и применяется. это не так?

@lucas1

#!/bin/sh for pkg_name in $(pkg info | awk '{print $1}') do echo "${pkg_name} `pkg info ${pkg_name} | grep Installed`" done

@werter
Ну и? В переводе на русский, раздел Маска это 3-х позиционный свитч, который просто определяет как ограничивать трафик - динамично или статично.
И зачем тогда там ниже всё остальное (32/128) впехано? Я предполагал, что Битовая маска вкупе позволяет сепарировать ИП адреса в зависимости от источника, а не переопределять источник.

Добрый.
@hr1sha

Схему рисуйте, трасер показывайте.

@werter said in (DF3) ACL 'default' error: destination name 'noneow_for_all' not found:

@blackWolf
Ссылки выше. Пробуй. По окончании отпишись здесь. Ждем

Эти ссылки(древние) пробовали многие еще три года назад и нифига
они и тогда полноценно работали (все форумы забиты о ошибках )

Так что попробуй хоть раз сам перед тем как другим дерьмо советовать
А не собирай всякий мусор в интернете
По окончании отпишись здесь. Ждем (и мы узнаем твою образованость)

@skynetyad
Было очень занимательно прочитать ваше общение, жаль что бесполезное для окружающих.
не считаете ли Вы, что решение поставленной задачи интересно и другим?

Заработало. Огромное спасибо.

@werter

Ну и что, это разве лишнее

Ради интереса ? зачем аватар сменили прячитесь ?

Спасибо. учту))))))