Проблема в доступе клиента к одной из сети
-
1. 10.8.0.1 от отправляет пакет не туда. Нет ли на нем "ручного" маршрута ? Проверьте это.
2. Что такое 10.9.9.2 ?
3. У 10.2.2.203 что стоит шлюзом в настройках сети ? Проверьте это. Должен стоять LAN-адрес pfsense04
4. На pfsense04 у вас ДВА WAN?? Есть ли loadbalancing, failover? -
1. постоянного(ручного) маршрута нет.
2. 10.9.9.0 - это vpn сеть между pfsense01 и pfsense04(см. рисунок, зелёная линия),
соответственно 10.9.9.2 конец туннеля для pfsense04.3. у 10.2.2.203 шлюзом указан Lan интерфейс pfsense04
4. да 2 wan интерфейса, по 33.33.33.33(см.рисунок) pfsense04 соединяется с pfsense01(зелёная линия), пользователи локальной сети выходят в инет через роутер yota. pfsense04(10.2.1.2)–-(10.2.1.1)yota.
настроен failover, как только yota недоступна, происходит переключение.прилагаю таблицу маршрутизации на pfsense01, цветные прямоугольники соответствуют линиям на первом рис.

 -
еще дополню, на pfsense04 - 3 интерфейса: wan-соединение pfsense04 c pfsense01; lan(10.2.2.5) в лок. сеть 10.2.2.0/24; yota(10.2.1.2) на роутер 10.2.1.1 далее в инет. пользователи сети выходят в инет через yota, если инета нема, переходим на интерфейс wan(failover)
прилагаю скриншоты правил файервола и таблицу маршрутизации на pfsense04:
-
Попробуйте поискать tcpdump-ом icmp ответы от 10.2.2.203 на интерфейсе yota, было у меня такое при muliWAN
-
2 aka_daemon
Галка на Stickly connections стоит ?

 -
2 aka_daemon
Покажите скрин настроек Gateway Groups (failover, loadbalancing)
-
нет галка не установлена
-
-
скрин настроек Gateway Groups (failover, loadbalancing)
-
-
галку поставил. правила поправил.
-
скрины поправленного.
Reset States сделали? Делайте.
-
скрин исправленного
сброс не делал, но попробую перезагрузить шлюз.
-
вариант с выставлением gateway(группового или одиночного) и перезагрузкой не помог.
-
По маршрутам кажется, что все уже должно работать. Возможно проблема с доступом к самому хосту. Пробовали пинговать другие хосты, которые точно могут ответить? (это сетевые принтеры, мфу, коммутаторы с настроенный gw на lan pfsense4)
Возможно проблема на брандмауэре сервера 1С. Какая там операционная система? Если windows vista и новее, то возможно разрешения на доступ к серверу (и пингам в частности) мешает что-либо, например, не та зона сетевого интерфейса на 10.2.2.203 (общественная сеть/сеть предприятия/домашняя сеть), либо если есть разрешение, то оно возможно открыто лишь для сети 10.2.2.0/24.
В самом начале Вы уже говорили, что для клиента lan pfsense4 виден, что скажет пинг на другие хосты в 10.2.2.0/24? В идеале тогда для проверки - отключить firewall на сервере (временно !!! только для теста, а то скажете "дядька научил")
-
Пинги на другие хосты сети 10.2.2.0/24 тоже не проходят, к примеру 10.2.2.200 и 10.2.2.202 -это контроллеры домена, уж они точно отвечают из самой сети 10.2.2.0/24 да и доступны из сети 192.168.0.0/24(настроены доверительные отношения между доменами)
Проблем у хоста нет, файервол отключен, на хосте установлен windows server 2008R2.
-
Интересно :)
А что на pfSense01: Farewall вкладка OpenVPN: все везде разрешено или есть запреты?
-
Правило одно, разрешающее все.
Все таки склоняюсь к тому, что проблема на pfsense04 заключается в multiwan, настроенный в режиме failover, потому как если оставить один интерфейс, то все нормально работает.
Но нет возможности просто оставить один wan, кот. по статике, так как инет по нему очень дорогой, по этому перешли на yota и провайдер монополист не пускает других на свою территорию.
Находимся на производстве, где только один провайдер, он же арендодатель производственных помещений. -
скрин исправленного
сброс не делал, но попробую перезагрузить шлюз.верно, multiwan - в тех правилах, где werter говорил о необходимости указать явно шлюз - указана группа OSNOVA, где WANGW (куда приходит openVPN) будет задействован только когда YOTAGW будет не доступен. В правилах для сетей за pfsense01 нужно указать gateway WANGW, и их можно объединить в одно правило с помощью алиаса для этих стетей
-
Правило одно, разрешающее все.
Все таки склоняюсь к тому, что проблема на pfsense04 заключается в multiwan, настроенный в режиме failover, потому как если оставить один интерфейс, то все нормально работает.
Но нет возможности просто оставить один wan, кот. по статике, так как инет по нему очень дорогой, по этому перешли на yota и провайдер монополист не пускает других на свою территорию.
Находимся на производстве, где только один провайдер, он же арендодатель производственных помещений.Может есть возможность пустить тогда и OpenVPN через yota (это подключение что из себя представляет?)?