Что-то вроде пиринга, не знаю как назвать.

daszip · Feb 1, 2010, 10:46 AM

Ситуация.

Есть 3 узла доступа. 1 и 2 узлы (У1 и У2) имеют аплинк на провайдера 1 (П1) , 2 и 3 (У2 и У3) на провайдера 2 (П2).
Так вот между У1 и У3 связь ужасная, а работать нужно. Внутри каждого провайдера всё отлично. Нужно пробросить порт так чтоб трафик шел из У1 в У3 через У2.
На У2 и У3 шлюз pfsense.
Как это правильно называется? И как настроить?

zar0ku1 · Feb 1, 2010, 1:06 PM

@daszip:

Ситуация.
Есть 3 узла доступа. 1 и 2 узлы (У1 и У2) имеют аплинк на провайдера 1 (П1) , 2 и 3 (У2 и У3) на провайдера 2 (П2).
Так вот между У1 и У3 связь ужасная, а работать нужно. Внутри каждого провайдера всё отлично. Нужно пробросить порт так чтоб трафик шел из У1 в У3 через У2.
На У2 и У3 шлюз pfsense.
Как это правильно называется? И как настроить?

ничего не понятно, когда сразу научитесь схемы прикладывать?

daszip · Feb 1, 2010, 2:02 PM

Рисую

В сети нац. провайдера проблемы. Связь между home и gate2 очень плохая.
Имея на gate1 аплинк на обоих провайдеров хочу обеспечить связь через gate1. В принципе достаточно обеспечить работу rdp.
Между gate1 и gate2 есть IPSec туннель. На любой из гейтов можно подключиться по openvpn.
Собственно удручает отсутствие пиринга между провайдерами.

zar0ku1 · Feb 1, 2010, 2:07 PM

и что не так? через провайдера1 подключаешься по впн к gate1 и ты уже в корпоративной сетке - что хочешь то и творишь
если айписек есть между gate1 и gate2 - что тебе мешает?

daszip · Feb 1, 2010, 2:25 PM

Не так то что цепляясь через openvpn вижу тока сеть gate1, но не дальше. Вероятно, чтоб видеть сеть gate2, нужно прописать маршрут. Опять же как это делается?

Добавлю. По Openvpn получаю адрес из сети 192.168.201.0/24, посему не являясь частью сети 192.168.0.0/24. Отсюда проблема потому как IPSec роутит трафик только между сетями 192.168.0.0/24 и 192.168.100.0/24

daszip · Feb 1, 2010, 2:36 PM

Есть идея через Custom options на ovpn сервере указать маршруты до удаленных сетей. Нужно гуглить.

daszip · Feb 1, 2010, 6:00 PM

Вот моя проблема. http://forum.pfsense.org/index.php/topic,19379.0.html
Но способ решения неудобный.

Хотя вполне рабочий.
Дальнейшие поиски показали, что правильный способ есть в бетке 2.0.
http://forum.pfsense.org/index.php/topic,21503.0.html

zar0ku1 · Feb 1, 2010, 9:52 PM

@daszip:

Не так то что цепляясь через openvpn вижу тока сеть gate1, но не дальше. Вероятно, чтоб видеть сеть gate2, нужно прописать маршрут. Опять же как это делается?

Добавлю. По Openvpn получаю адрес из сети 192.168.201.0/24, посему не являясь частью сети 192.168.0.0/24. Отсюда проблема потому как IPSec роутит трафик только между сетями 192.168.0.0/24 и 192.168.100.0/24

что-то странно у вас с маршрутизацией

у вас есть 3 сети, 0.0/24, 100.0/24, 201.0/24 не понятно зачем такой геморрой с openvpn и отдельной подсетью - ну да ладно

подключившись вы должны пинговать оба ваших гейта, осталось вам только прописать маршрут типа


route add 192.168.100/24

daszip · Feb 2, 2010, 3:10 AM

@zar0ku1:

что-то странно у вас с маршрутизацией

у вас есть 3 сети, 0.0/24, 100.0/24, 201.0/24 не понятно зачем такой геморрой с openvpn и отдельной подсетью - ну да ладно

подключившись вы должны пинговать оба ваших гейта, осталось вам только прописать маршрут типа
route add 192.168.100/24 

Окей. Научите, как нужно сделать чтоб гемора не было.
Грубо говоря есть локалки 192.168.0.0/24,192.168.1.0/24,192.168.2.0/24 и т.д. Каждая сетка стоит за шлюзами. Между шлюзами IPSec, на каждом шлюзе ovpn-сервер и сети для ovpn разные 200.0/24, 201.0/.24 и т.д.. Если между узлами есть IPSec то сети друг друга видят.

Статическая маршрутизация не на одном шлюзе не прописана.
И я думаю что это в общем случае правильно.
Просто допустим всё сети маршрутизируются, я цепляюсь к какой-то одной и имею доступ ко все корпоративной сети. Но в этом случае хорошая связь будет только с той сетью, к которой я подключен непосредственно. С остальными сетями связь будет хуже.

, ибо зачем подключившись по ovpn скажем к 0.0/24 лезьть в 1.0/24. Связь будет приятнее если я подключусь к 1.0/24 напрямую

zar0ku1 · Feb 2, 2010, 3:52 AM

@daszip:

ибо зачем подключившись по ovpn скажем к 0.0/24 лезьть в 1.0/24. Связь будет приятнее если я подключусь к 1.0/24 напрямую

ну это уж дело ваше, раз вас это не устраивает - я ничем не помогу

izuware · Feb 9, 2010, 1:40 PM

@daszip:

Очень правильное решение тут http://forum.pfsense.org/index.php/topic,19379.0.html
Или подымайте везде РтР, хоть тем же ОпенВПНом и вручную пишите маршруты куда хочется. Наверное и RIP даже будет тут работать

Eugene · Feb 9, 2010, 10:36 PM

@daszip:

Не так то что цепляясь через openvpn вижу тока сеть gate1, но не дальше. Вероятно, чтоб видеть сеть gate2, нужно прописать маршрут. Опять же как это делается?

Добавлю. По Openvpn получаю адрес из сети 192.168.201.0/24, посему не являясь частью сети 192.168.0.0/24. Отсюда проблема потому как IPSec роутит трафик только между сетями 192.168.0.0/24 и 192.168.100.0/24

Если делать так, то необходимо поднять IPSec между Gate1 и Gate2 c сетями 192.168.201.0/24 и 192.168.100.0/24.