NAT из LAN в VPN сеть
-
Здравствуйте.
Стоит PFSense 2.01. Настроены 2 WAN прова, несколько LAN и VPN сетей.
Возникла необходимость из локальной сети проверять доступность хостов на удаленной стороне Ipsec VPN сети.
Т.е. на PFS поднят интерфейс R_VPN с ip 172.50.0.1 (сеть 172.50.0.0/24). На этом интерфейсе настроен Ipsec VPN туннель с удаленной стороной 172.85.12.30 (сеть 172.85.12.0/24). Настроена маршрутизация, файрвол. Внутри 172.50.0.0/24 <–-> 172.85.12.0/24 все работает в обоих направлениях, пинги ходят.
Как было написано выше, возникла необходимость пинговать с локальной сети 192.168.55.0/24 хост 172.85.12.30 на удаленной стороне. Просто настроить маршрутизацию - это не поможет, т.к. удаленная сторона принимает пакеты только из сети 172.50.0.0/24. Соответственно, как я понимаю, необходимо настроить трансляцию адресов из лок. сети 192.168.55.0/24 в сеть 172.50.0.0/24, т.е. настроить Oubound NAT и прописать необходимые правила файрвола, чтоб не транслировать все пакеты.
По аналогии настроек NAT с лок. адресов в WAN сделал так.
Сначала создал правило файрвола во вкладке лок.сети LAN Firewall: Rules:ID Proto Source Port Destination Port Gateway Queue
ICMP 192.168.55.0/24 * 172.85.12.0/24 * 172.50.0.1 noneПод это правило попадают icmp-пакеты, которые пошли от источников с ip 192.168.55.0/24 (лок.сеть) в сеть 172.85.12.0/24 через шлюз 172.50.0.1.
Создал правило NAT во вкладке Firewall: NAT: Outbound для R_VPN
Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port
R_VPN 192.168.55.0/24 icmp/* * icmp/* * * NOСогласно этому правилу, как я его понимаю, все icmp пакеты от источников с ip 192.168.55.0/24 будут транслироваться в любые сети через интерфейс R_VPN, т.е. 172.50.0.1.
Пинги не идут. Пробовал прописывать не конкретные правила файрвола, а так сказать с любых источников в любые направления. Все равно не идут. Подскажите, плиз, как мне решить эту задачу.
-
А на интерфейсе R_VPN есть разрешающее правило для destination 192.168.55.0/24 ?
-
Из сети 192.168.55.0/24 адрес 172.50.0.1 виден\пингуется?
И в правиле NAT-а уберите icmp/* . -
А на интерфейсе R_VPN есть разрешающее правило для destination 192.168.55.0/24 ?
Указывал разрешающее правило для любых соединений, т.е. везде *.
-
Из сети 192.168.55.0/24 адрес 172.50.0.1 виден\пингуется?
И в правиле NAT-а уберите icmp/* .В том-то и дело, что не виден и не пингуется. А в правилах NAT указывал и с icmp/* и без. Результат тот же.
Проверю еще раз. -
1. Удалите всякую маршрутизацию из ЛАН в ППТП-сеть , если была
2. Удалите правило(а) НАТ для ППТП , если было(и).
3. Перезагрузите pf.
4. В Firewall: Rules : LAN правило (для проверки) :
TCP LAN net * PPTP clients * * *
5. Подключаемся пптп-клиентами извне и проверяем пингом их доступность.Важно! На пптп-клиентах выключите (временно) всякие фаерволлы (и встроенный тоже ). Иначе icmp-пакеты не пройдут.
-
Извиняюсь заранее, если что-то не понимаю, но причм тут pptp. У меня ВПН-тунель открыт по IPSEC. И моя задача состоит настроить пинги из локальной сети к удаленному концу IPSEC VPN.
-
"e author=sundoom link=topic=53644.msg287151#msg287151 date=1347867737]
Извиняюсь заранее, если что-то не понимаю, но причм тут pptp. У меня ВПН-тунель открыт по IPSEC. И моя задача состоит настроить пинги из локальной сети к удаленному концу IPSEC VPN.Пардон, моя вина.
На счет ипсека - в VPN: IPsec: Edit Phase 2 явно указываются Local Network и Remote Network. Это и есть маршрутизация. Далее - только правила в fw (правильно написанные, конечно)
Вручную ни НАТ и роутинг рисовать не надо. Удалите их, перезапустите туннель , а лучше ребутните машину полностью и проверяйте. -
Пардон, моя вина.
На счет ипсека - в VPN: IPsec: Edit Phase 2 явно указываются Local Network и Remote Network. Это и есть маршрутизация. Далее - только правила в fw (правильно написанные, конечно)
Вручную ни НАТ и роутинг рисовать не надо. Удалите их, перезапустите туннель , а лучше ребутните машину полностью и проверяйте.Дело в том, что нужно именно НАТить в нашу VPN IPsec сеть (сеть 172.50.0.0/24) для того, чтобы пинговать удаленный конец VPN IPsec тунеля. Проблема в том, что данная подсеть для нашего конца VPN IPsec тунеля была выделена удаленной стороной, т. е. они другие сети в свою сторону не пускают кроме 172.50.0.0/24. Поэтому и нужно натить.
-
Сначала создал правило файрвола во вкладке лок.сети LAN Firewall: Rules:
ID Proto Source Port Destination Port Gateway Queue
ICMP 192.168.55.0/24 * 172.85.12.0/24 * 172.50.0.1 noneшлюз (172.50.0.1) указывать не нужно.