Проблема в доступе клиента к одной из сети

aka_daemon

1. постоянного(ручного) маршрута нет.

2. 10.9.9.0 - это vpn сеть между pfsense01 и pfsense04(см. рисунок, зелёная линия),
соответственно 10.9.9.2 конец туннеля для pfsense04.

3. у 10.2.2.203 шлюзом указан Lan интерфейс pfsense04

4. да 2 wan интерфейса, по 33.33.33.33(см.рисунок) pfsense04 соединяется с pfsense01(зелёная линия), пользователи локальной сети выходят в инет через роутер yota. pfsense04(10.2.1.2)–-(10.2.1.1)yota.
настроен failover, как только yota недоступна, происходит переключение.

прилагаю таблицу маршрутизации на pfsense01, цветные прямоугольники соответствуют линиям на первом рис.

![route pfsense01.jpg](/public/imported_attachments/1/route pfsense01.jpg)
![route pfsense01.jpg_thumb](/public/imported_attachments/1/route pfsense01.jpg_thumb)

aka_daemon

еще дополню, на pfsense04 - 3 интерфейса: wan-соединение pfsense04 c pfsense01; lan(10.2.2.5) в лок. сеть 10.2.2.0/24; yota(10.2.1.2) на роутер 10.2.1.1 далее в инет. пользователи сети выходят в инет через yota, если инета нема, переходим на интерфейс wan(failover)
прилагаю скриншоты правил файервола и таблицу маршрутизации на pfsense04:

rules_lan.jpg_thumb
rules_yota.jpg_thumb
route_pfsense.jpg_thumb

Buch

Попробуйте поискать tcpdump-ом icmp ответы от 10.2.2.203 на интерфейсе yota, было у меня такое при muliWAN

werter

2 aka_daemon

Галка на Stickly connections стоит ?

![2015-02-18 10_05_27.jpg](/public/imported_attachments/1/2015-02-18 10_05_27.jpg)
![2015-02-18 10_05_27.jpg_thumb](/public/imported_attachments/1/2015-02-18 10_05_27.jpg_thumb)

werter

2 aka_daemon

Покажите скрин настроек Gateway Groups (failover, loadbalancing)

aka_daemon

нет галка не установлена

loadbal.jpg_thumb

werter

@aka_daemon:

нет галка не установлена

Поставьте.

aka_daemon

скрин настроек Gateway Groups (failover, loadbalancing)

gateways.jpg_thumb

aka_daemon

@werter:

@aka_daemon:

нет галка не установлена

Поставьте.

таймаут выставлять?

aka_daemon

галку поставил. правила поправил.

werter

скрины поправленного.

Reset States сделали? Делайте.

aka_daemon

скрин исправленного
сброс не делал, но попробую перезагрузить шлюз.

correct_rules.jpg_thumb

aka_daemon

вариант с выставлением gateway(группового или одиночного) и перезагрузкой не помог.

dima_k

По маршрутам кажется, что все уже должно работать. Возможно проблема с доступом к самому хосту. Пробовали пинговать другие хосты, которые точно могут ответить? (это сетевые принтеры, мфу, коммутаторы с настроенный gw на lan pfsense4)

Возможно проблема на брандмауэре сервера 1С. Какая там операционная система? Если windows vista и новее, то возможно разрешения на доступ к серверу (и пингам в частности) мешает что-либо, например, не та зона сетевого интерфейса на 10.2.2.203 (общественная сеть/сеть предприятия/домашняя сеть), либо если есть разрешение, то оно возможно открыто лишь для сети 10.2.2.0/24.

В самом начале Вы уже говорили, что для клиента lan pfsense4 виден, что скажет пинг на другие хосты в 10.2.2.0/24? В идеале тогда для проверки - отключить firewall на сервере (временно !!! только для теста, а то скажете "дядька научил")

aka_daemon

Пинги на другие хосты сети 10.2.2.0/24 тоже не проходят, к примеру 10.2.2.200 и 10.2.2.202 -это контроллеры домена, уж они точно отвечают из самой сети 10.2.2.0/24 да и доступны из сети 192.168.0.0/24(настроены доверительные отношения между доменами)
Проблем у хоста нет, файервол отключен, на хосте установлен windows server 2008R2.

ping&tracert.jpg
ping&tracert.jpg_thumb

dima_k

Интересно :)

А что на pfSense01: Farewall вкладка OpenVPN: все везде разрешено или есть запреты?

aka_daemon

Правило одно, разрешающее все.
Все таки склоняюсь к тому, что проблема на pfsense04 заключается в multiwan, настроенный в режиме failover, потому как если оставить один интерфейс, то все нормально работает.
Но нет возможности просто оставить один wan, кот. по статике, так как инет по нему очень дорогой, по этому перешли на yota и провайдер монополист не пускает других на свою территорию.
Находимся на производстве, где только один провайдер, он же арендодатель производственных помещений.

dima_k

@aka_daemon:

скрин исправленного
сброс не делал, но попробую перезагрузить шлюз.

верно, multiwan - в тех правилах, где werter говорил о необходимости указать явно шлюз - указана группа OSNOVA, где WANGW (куда приходит openVPN) будет задействован только когда YOTAGW будет не доступен. В правилах для сетей за pfsense01 нужно указать gateway WANGW, и их можно объединить в одно правило с помощью алиаса для этих стетей

dima_k

@aka_daemon:

Правило одно, разрешающее все.
Все таки склоняюсь к тому, что проблема на pfsense04 заключается в multiwan, настроенный в режиме failover, потому как если оставить один интерфейс, то все нормально работает.
Но нет возможности просто оставить один wan, кот. по статике, так как инет по нему очень дорогой, по этому перешли на yota и провайдер монополист не пускает других на свою территорию.
Находимся на производстве, где только один провайдер, он же арендодатель производственных помещений.

Может есть возможность пустить тогда и OpenVPN через yota (это подключение что из себя представляет?)?

aka_daemon

верно, multiwan - в тех правилах, где werter говорил о необходимости указать явно шлюз - указана группа OSNOVA, где WANGW (куда приходит openVPN) будет задействован только когда YOTAGW будет не доступен. В правилах для сетей за pfsense01 нужно указать gateway WANGW

наверное вы имели ввиду pfsense04, вместо группы OSNOVA и жёстко указывал шлюзом WANGW, все тоже, в сеть не пускает.

можно объединить в одно правило с помощью алиаса для этих стетей

вот здесь не понял, поясните