Проблема в доступе клиента к одной из сети
-
Добрый день.
Организована след. схема работы между офисами, см вложение.
Задача: клиенту необходимо получить доступ(работа с 1С) к локальной сети 10.2.2.0/24 за pfsense04.
На pfsense01 организован Vpn-сервер(roadwarrior), клиент подключаясь получает адреса из сети 10.8.0.0/24 и имеет доступ к локальной сети за pfsense01.
Встала задача организовать доступ к сетям за pfsense02, pfsense03 и pfsense04.
Решение данной задачи - это дать маршруты сервером(roadwarrior) клиенту в поле Advanced configuration:
push "route 192.168.4.0 255.255.255.0";
push "route 192.168.2.0 255.255.255.0";
push "route 10.2.2.0 255.255.255.0";Клиент получает данные маршруты и получает доступ в сети за pfsense02 и pfsense03, но не за pfsense04, причем ping на LAN pfsense04 проходит, а дальше нет.
Прилагаю правила файера на pfsense04, закладка LAN, на закладке VPN одно правило, разрешающее все.
 -
Последнее правило на скрине - неверное. Оно должно быть на инт. OpenVPN.
Покажите скрин правил инт. OpenVPN -
оно одно единственное
 -
А в таблице маршрутизации клиента при установленном OpenVPN маршрут в 10.2.2.0/24 появляется ?
Если у вас клиент на Win - покажите route print. -
да, маршрут есть. прилагаю еще ping и tracert
10.2.2.5 -Lan интерфейс pfsense04, 10.2.2.203 - сервер 1с
-
1. 10.8.0.1 от отправляет пакет не туда. Нет ли на нем "ручного" маршрута ? Проверьте это.
2. Что такое 10.9.9.2 ?
3. У 10.2.2.203 что стоит шлюзом в настройках сети ? Проверьте это. Должен стоять LAN-адрес pfsense04
4. На pfsense04 у вас ДВА WAN?? Есть ли loadbalancing, failover? -
1. постоянного(ручного) маршрута нет.
2. 10.9.9.0 - это vpn сеть между pfsense01 и pfsense04(см. рисунок, зелёная линия),
соответственно 10.9.9.2 конец туннеля для pfsense04.3. у 10.2.2.203 шлюзом указан Lan интерфейс pfsense04
4. да 2 wan интерфейса, по 33.33.33.33(см.рисунок) pfsense04 соединяется с pfsense01(зелёная линия), пользователи локальной сети выходят в инет через роутер yota. pfsense04(10.2.1.2)–-(10.2.1.1)yota.
настроен failover, как только yota недоступна, происходит переключение.прилагаю таблицу маршрутизации на pfsense01, цветные прямоугольники соответствуют линиям на первом рис.
 -
еще дополню, на pfsense04 - 3 интерфейса: wan-соединение pfsense04 c pfsense01; lan(10.2.2.5) в лок. сеть 10.2.2.0/24; yota(10.2.1.2) на роутер 10.2.1.1 далее в инет. пользователи сети выходят в инет через yota, если инета нема, переходим на интерфейс wan(failover)
прилагаю скриншоты правил файервола и таблицу маршрутизации на pfsense04:
-
Попробуйте поискать tcpdump-ом icmp ответы от 10.2.2.203 на интерфейсе yota, было у меня такое при muliWAN
-
2 aka_daemon
Галка на Stickly connections стоит ?
 -
2 aka_daemon
Покажите скрин настроек Gateway Groups (failover, loadbalancing)
-
нет галка не установлена
-
-
скрин настроек Gateway Groups (failover, loadbalancing)
-
-
галку поставил. правила поправил.
-
скрины поправленного.
Reset States сделали? Делайте.
-
скрин исправленного
сброс не делал, но попробую перезагрузить шлюз.
-
вариант с выставлением gateway(группового или одиночного) и перезагрузкой не помог.
-
По маршрутам кажется, что все уже должно работать. Возможно проблема с доступом к самому хосту. Пробовали пинговать другие хосты, которые точно могут ответить? (это сетевые принтеры, мфу, коммутаторы с настроенный gw на lan pfsense4)
Возможно проблема на брандмауэре сервера 1С. Какая там операционная система? Если windows vista и новее, то возможно разрешения на доступ к серверу (и пингам в частности) мешает что-либо, например, не та зона сетевого интерфейса на 10.2.2.203 (общественная сеть/сеть предприятия/домашняя сеть), либо если есть разрешение, то оно возможно открыто лишь для сети 10.2.2.0/24.
В самом начале Вы уже говорили, что для клиента lan pfsense4 виден, что скажет пинг на другие хосты в 10.2.2.0/24? В идеале тогда для проверки - отключить firewall на сервере (временно !!! только для теста, а то скажете "дядька научил")