Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    NAT из LAN в VPN сеть

    Russian
    4
    10
    4.1k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      sundoom
      last edited by

      Здравствуйте.
      Стоит PFSense 2.01. Настроены 2 WAN прова, несколько LAN и VPN сетей.
      Возникла необходимость из локальной сети проверять доступность хостов на удаленной стороне Ipsec VPN сети.
      Т.е. на PFS поднят интерфейс R_VPN с ip 172.50.0.1 (сеть 172.50.0.0/24). На этом интерфейсе настроен Ipsec VPN туннель с удаленной стороной 172.85.12.30 (сеть 172.85.12.0/24). Настроена маршрутизация, файрвол. Внутри 172.50.0.0/24 <–-> 172.85.12.0/24 все работает в обоих направлениях, пинги ходят.
      Как было написано выше, возникла необходимость пинговать с локальной сети 192.168.55.0/24 хост 172.85.12.30 на удаленной стороне. Просто настроить маршрутизацию - это не поможет, т.к. удаленная сторона принимает пакеты только из сети 172.50.0.0/24. Соответственно, как я понимаю, необходимо настроить трансляцию адресов из лок. сети 192.168.55.0/24 в сеть 172.50.0.0/24, т.е. настроить Oubound NAT и прописать необходимые правила файрвола, чтоб не транслировать все пакеты.
      По аналогии настроек NAT с лок. адресов в WAN сделал так.
      Сначала создал правило файрвола во вкладке лок.сети LAN Firewall: Rules:

      ID Proto   Source                    Port   Destination Port Gateway Queue
                ICMP 192.168.55.0/24 * 172.85.12.0/24 * 172.50.0.1 none

      Под это правило попадают icmp-пакеты, которые пошли от источников с ip 192.168.55.0/24 (лок.сеть) в сеть 172.85.12.0/24 через шлюз 172.50.0.1.

      Создал правило NAT во вкладке Firewall: NAT: Outbound для R_VPN

      Interface Source       Source Port Destination Destination Port   NAT Address NAT Port Static Port
        R_VPN        192.168.55.0/24 icmp/*                   *      icmp/*         *     *               NO

      Согласно этому правилу, как я его понимаю, все icmp пакеты от источников с ip 192.168.55.0/24 будут транслироваться в любые сети через интерфейс R_VPN, т.е. 172.50.0.1.

      Пинги не идут. Пробовал прописывать не конкретные правила файрвола, а так сказать с любых источников в любые направления. Все равно не идут. Подскажите, плиз, как мне решить эту задачу.

      1 Reply Last reply Reply Quote 0
      • N
        nomeron
        last edited by

        А на интерфейсе R_VPN есть разрешающее правило для destination 192.168.55.0/24 ?

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by

          Из сети 192.168.55.0/24 адрес  172.50.0.1 виден\пингуется?
          И в правиле NAT-а уберите icmp/* .

          1 Reply Last reply Reply Quote 0
          • S
            sundoom
            last edited by

            @nomeron:

            А на интерфейсе R_VPN есть разрешающее правило для destination 192.168.55.0/24 ?

            Указывал разрешающее правило для любых соединений, т.е. везде *.

            1 Reply Last reply Reply Quote 0
            • S
              sundoom
              last edited by

              @werter:

              Из сети 192.168.55.0/24 адрес  172.50.0.1 виден\пингуется?
              И в правиле NAT-а уберите icmp/* .

              В том-то и дело, что не виден и не пингуется. А в правилах NAT указывал и с icmp/* и без. Результат тот же.
              Проверю еще раз.

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                1. Удалите всякую маршрутизацию из ЛАН в ППТП-сеть , если была
                2. Удалите правило(а) НАТ для ППТП , если было(и).
                3. Перезагрузите pf.
                4. В Firewall: Rules : LAN правило (для проверки) :
                TCP LAN net * PPTP clients * * *
                5. Подключаемся пптп-клиентами извне и проверяем пингом их доступность.

                Важно! На пптп-клиентах выключите (временно) всякие фаерволлы (и встроенный тоже ). Иначе icmp-пакеты не пройдут.

                1 Reply Last reply Reply Quote 0
                • S
                  sundoom
                  last edited by

                  Извиняюсь заранее, если что-то не понимаю, но причм тут pptp. У меня ВПН-тунель открыт по IPSEC. И моя задача состоит настроить пинги из локальной сети к удаленному концу IPSEC VPN.

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    "e author=sundoom link=topic=53644.msg287151#msg287151 date=1347867737]
                    Извиняюсь заранее, если что-то не понимаю, но причм тут pptp. У меня ВПН-тунель открыт по IPSEC. И моя задача состоит настроить пинги из локальной сети к удаленному концу IPSEC VPN.

                    Пардон, моя вина.
                    На счет ипсека - в VPN: IPsec: Edit Phase 2 явно указываются Local Network и Remote Network. Это и есть маршрутизация. Далее  - только правила в fw (правильно написанные, конечно)
                    Вручную ни НАТ и роутинг рисовать не надо. Удалите их, перезапустите туннель , а лучше ребутните машину полностью и проверяйте.

                    1 Reply Last reply Reply Quote 0
                    • S
                      sundoom
                      last edited by

                      @werter:

                      Пардон, моя вина.
                      На счет ипсека - в VPN: IPsec: Edit Phase 2 явно указываются Local Network и Remote Network. Это и есть маршрутизация. Далее  - только правила в fw (правильно написанные, конечно)
                      Вручную ни НАТ и роутинг рисовать не надо. Удалите их, перезапустите туннель , а лучше ребутните машину полностью и проверяйте.

                      Дело в том, что нужно именно НАТить в нашу VPN IPsec сеть (сеть 172.50.0.0/24) для того, чтобы пинговать удаленный конец VPN IPsec тунеля. Проблема в том, что данная подсеть для нашего конца VPN IPsec тунеля была выделена удаленной стороной, т. е. они другие сети в свою сторону не пускают кроме 172.50.0.0/24. Поэтому и нужно натить.

                      1 Reply Last reply Reply Quote 0
                      • R
                        rubic
                        last edited by

                        @sundoom:

                        Сначала создал правило файрвола во вкладке лок.сети LAN Firewall: Rules:

                        ID Proto    Source                    Port   Destination Port Gateway Queue
                                   ICMP 192.168.55.0/24 * 172.85.12.0/24 * 172.50.0.1 none

                        шлюз (172.50.0.1) указывать не нужно.

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.