Проблема в доступе клиента к одной из сети
-
оно одно единственное
 -
А в таблице маршрутизации клиента при установленном OpenVPN маршрут в 10.2.2.0/24 появляется ?
Если у вас клиент на Win - покажите route print. -
да, маршрут есть. прилагаю еще ping и tracert
10.2.2.5 -Lan интерфейс pfsense04, 10.2.2.203 - сервер 1с
-
1. 10.8.0.1 от отправляет пакет не туда. Нет ли на нем "ручного" маршрута ? Проверьте это.
2. Что такое 10.9.9.2 ?
3. У 10.2.2.203 что стоит шлюзом в настройках сети ? Проверьте это. Должен стоять LAN-адрес pfsense04
4. На pfsense04 у вас ДВА WAN?? Есть ли loadbalancing, failover? -
1. постоянного(ручного) маршрута нет.
2. 10.9.9.0 - это vpn сеть между pfsense01 и pfsense04(см. рисунок, зелёная линия),
соответственно 10.9.9.2 конец туннеля для pfsense04.3. у 10.2.2.203 шлюзом указан Lan интерфейс pfsense04
4. да 2 wan интерфейса, по 33.33.33.33(см.рисунок) pfsense04 соединяется с pfsense01(зелёная линия), пользователи локальной сети выходят в инет через роутер yota. pfsense04(10.2.1.2)–-(10.2.1.1)yota.
настроен failover, как только yota недоступна, происходит переключение.прилагаю таблицу маршрутизации на pfsense01, цветные прямоугольники соответствуют линиям на первом рис.
 -
еще дополню, на pfsense04 - 3 интерфейса: wan-соединение pfsense04 c pfsense01; lan(10.2.2.5) в лок. сеть 10.2.2.0/24; yota(10.2.1.2) на роутер 10.2.1.1 далее в инет. пользователи сети выходят в инет через yota, если инета нема, переходим на интерфейс wan(failover)
прилагаю скриншоты правил файервола и таблицу маршрутизации на pfsense04:
-
Попробуйте поискать tcpdump-ом icmp ответы от 10.2.2.203 на интерфейсе yota, было у меня такое при muliWAN
-
2 aka_daemon
Галка на Stickly connections стоит ?
 -
2 aka_daemon
Покажите скрин настроек Gateway Groups (failover, loadbalancing)
-
нет галка не установлена
-
-
скрин настроек Gateway Groups (failover, loadbalancing)
-
-
галку поставил. правила поправил.
-
скрины поправленного.
Reset States сделали? Делайте.
-
скрин исправленного
сброс не делал, но попробую перезагрузить шлюз.
-
вариант с выставлением gateway(группового или одиночного) и перезагрузкой не помог.
-
По маршрутам кажется, что все уже должно работать. Возможно проблема с доступом к самому хосту. Пробовали пинговать другие хосты, которые точно могут ответить? (это сетевые принтеры, мфу, коммутаторы с настроенный gw на lan pfsense4)
Возможно проблема на брандмауэре сервера 1С. Какая там операционная система? Если windows vista и новее, то возможно разрешения на доступ к серверу (и пингам в частности) мешает что-либо, например, не та зона сетевого интерфейса на 10.2.2.203 (общественная сеть/сеть предприятия/домашняя сеть), либо если есть разрешение, то оно возможно открыто лишь для сети 10.2.2.0/24.
В самом начале Вы уже говорили, что для клиента lan pfsense4 виден, что скажет пинг на другие хосты в 10.2.2.0/24? В идеале тогда для проверки - отключить firewall на сервере (временно !!! только для теста, а то скажете "дядька научил")
-
Пинги на другие хосты сети 10.2.2.0/24 тоже не проходят, к примеру 10.2.2.200 и 10.2.2.202 -это контроллеры домена, уж они точно отвечают из самой сети 10.2.2.0/24 да и доступны из сети 192.168.0.0/24(настроены доверительные отношения между доменами)
Проблем у хоста нет, файервол отключен, на хосте установлен windows server 2008R2.
-
Интересно :)
А что на pfSense01: Farewall вкладка OpenVPN: все везде разрешено или есть запреты?
