DNS, NTP i update przez tunel IP Sec
-
Mam oddział który ma dostęp do sieci OPT1.
Mam centralę, która też ma dostęp do sieci OPT1
Czyli OPT1 centrali widzi bezpośrednio OPT1 oddziału.
Przez to, że tak jest mogę sobie zrobić tunel IP Sec łączący centralę i oddział. Czemu tunel? może ktoś zapytać. Temu, że sieć po której to robię nie jest moja.
Sieci OPT1 nie mają dostępu do Internetu.
Tunel działa poprawnie w dwie strony, oddział może dostać się do sieci centrali a centrala do oddziału. Wszystko działa poprawnie.
Wypadałoby dać Internet dla oddziału przez ten tunel. Robię co trzeba z NAT-em w centrali, teoretycznie Internet działa.
Ale pojawia się pewne ale. Router/firewall jako to konkretne urządzenie nie łączy się przez tunel jak potrzebuje Internetu. Próbuje łączyć się przez swoją domyślną bramę, która nie jest tunelem IP Sec.
Więc usługa Unbound, NTP, update i pewnie inne też nie wchodzą w tunel. Umiem zrobić by te konkretne usługi były routowane przez OPT1 i poszły poza tunelem ale nie chcę tak robić. Chciałbym cały ruch z oddziału wpuścić w tunel.
Czy to jest możliwe i jak to zrobić? Czy ktoś z Was ma może jakieś rozwiązanie na tę sytuację sieciową? -
@milew Jaki zdefiniowany DNS i brama na końcówkach?
-
@przemyslaw85 Na końcówkach jest wszystko dobrze. Chodziło mi o sam router w sensie urządzenie by miało dostęp do Internetu np do aktualizacji samego siebie.
Udało mi się to niedawno rozwiązać. Pfsense w takim przypadku bierze siebie czyli 127.0.0.1 i próbuje łączyć się z Internetem. Tylko jak nic nie zrobimy to nasz router oddziałowy nie ma żadnej bramy więc na zewnątrz klasycznie nie wydostanie się a w tunel też nie pójdzie skoro adres źródłowy jest 127.0.0.1. Tak przynajmniej ja to rozumiem. Jest coś nawet o tym w dokumentacji opisane.
Musimy w takim wypadku dodać bramę wskazującą na samego siebie czyli adres interfejsu lan. Wtedy żądania Internetu na routerze będą wskakiwać w bramę na interfejsie LAN a wtedy już nic nie stoi na przeszkodzie by ruch poleciał w tunel.
Działa to poprawnie jak już ustawimy tę bramę. -
@milew no właśnie chciałem zaproponować by końcówkach brama jak i DNS wskazywały na bramę rotuera w siedzibie głównej. Ewentualnie sam DNS, a na zdalny routerze ustawić routing z siebie na zdalny (przekierowanie).