Не получается создать статический маршру

aleksvolgin

но ведь в фаерволе есть вкладка ipsec

На заборе тоже слово написано, а бабушка в надежде подошла, потрогала, ан нет, сучок.

werter

2 gost370

Ваш выбор - OpenVPN.  Куда уж более гибкое решение - и маршруты объявить получится и не только.

gost370

@werter:

2 gost370

Ваш выбор - OpenVPN.  Куда уж более гибкое решение - и маршруты объявить получится и не только.

И я, и я, и я того же мнения. Но на другой стороне dfl-260e, поэтому работаем с чем есть. :(

werter

Решение :

https://doc.pfsense.org/index.php/IPsec_with_Multiple_Subnets

Т.е. необходимо создать столько Phase 2 , сколько сетей вам необходимо маршрутизировать.

Есть одно но  :-:

If the equipment to which you are connecting does not support multiple Phase 2's, you may need to employ supernetting/CIDR summarization (See below) to fit the networks into a single Phase 2

P.s. http://forum.pfsense.org/index.php?topic=36579.0 :

For true "routing" over IPsec, you'd need to run IPsec in transport mode with a GIF tunnel on top of that and route however you like across the GIF interface

werter

Поискав по возможностям вашей железки - оно еще и pptp\l2tp умеет. Или я ошибаюсь?

gost370

@werter:

Поискав по возможностям вашей железки - оно еще и pptp\l2tp умеет. Или я ошибаюсь?

Да умеет, но тогда сервером придется делать pf а это не желательно.

aleksvolgin

Да умеет, но тогда сервером придется делать pf

Сделайте сервером dlink, кто же вам мешает.

Buch

Прошу прощения, но всетаки апну тему.

Все сошлись к смене способа доступа к удаленной сети.
У меня за ipsec есть шлюз, которым хотелось бы воспользоваться.
Шлюз доступен, но как направить через него трафик не пойму.

werter

Э-э-э, а просто статический маршрут добавить? Трафик - определенный или как default gateway удаленный шлюз использовать ?

Buch

Как defaul gateway но только для части машин. Немного поясню: выход в инет есть как на стороне локальной сети так и из сети за ipsec. Так вот нужно часть локальных машин выпускать в инет через шлюз удаленной сети.

werter

А с настройками удаленного шлюза (за IPSEC) все в порядке ? С правилами fw ,включен ли NAT?

P.s. Попробуйте создать alias с нужными вам адресами "избранных" машин. А в кач-ве gateway указать адрес того самого шлюза (если так возможно, конечно).

Buch

С удаленным шлюзом все ок.
Я не могу создать правило т.к. gateway не лежит в адресном пространстве локальной сети.
Может возможно при помощи виртуальных ip отобразить удаленный шлюз в локальной сети?

werter

Хм, хороша задача.

http://xgu.ru/wiki/Proxy_ARP ?