Доступ к Pfsense на другом конце тоннеля IPSEC

warpil

Есть 2 pFsense 2.1
В точке А - классический вариант - интерфейс внутри, интерфейс снаружи.
В точке Б - есть только 1 интерфейс, который смотрит наружу с публичным айпи.

Необходимо делать мониторинг пфсенса в точке Б. Очевидный вариант - открыть порт/ы на внешнем публичном интерфейсе :)
Хороший вариант - мониторить пфсенс в точке Б через туннель.
Однако в точке Б нет больше адаптеров. Пытался сделать виртуальный айпи на локалхост - нет реакции + на локалхост неясно где фаервол и есть ли он вообще.

Как это правильно решить?

werter

1. Схему с адресами.
2. Скриншот правил NATа.
3. Скриншот правила fw (LAN, IPSEC) на обоих pfsense.

warpil

Примерно так.
Пользователи опенвпн имеют доступ в ЛАн через туннель от пфсенс В к пфсенс А .
Из ЛАН пользователи на опенвпн пфсенс В тоже видны.

Правила IPSEC - allow all any to any на обоих.
NAT - automatic на обоих
LAN на сервере пфсенс - разрешает 192.168.40.0 < - > 192.168.45.0 all

Если прям вот совсем нужны скриншоты - с утра сделаю на работе.

Shraik

А что мешает сделать доступ на публичный ip ?
Ну сделайте пароль посильнее. Сдвиньне с 80 конфигуратор и ограничте с каких ip можно приходить. Враги не пройдут  ;D

warpil

Конечно можно. Можно даже в фаерволле указать что сорц айпи которому можно зайти на порт для мониторинга - только WAN pFsense A …
Но если есть туннель - может лучше все же им воспользоваться? :)

warpil

И , к тому же, хотелось бы получить доступ  к вебморде пфсенса Б не через паблик адрес =) хотя это и менее критично.