Проблема в доступе клиента к одной из сети
-
галку поставил. правила поправил.
-
скрины поправленного.
Reset States сделали? Делайте.
-
скрин исправленного
сброс не делал, но попробую перезагрузить шлюз.
-
вариант с выставлением gateway(группового или одиночного) и перезагрузкой не помог.
-
По маршрутам кажется, что все уже должно работать. Возможно проблема с доступом к самому хосту. Пробовали пинговать другие хосты, которые точно могут ответить? (это сетевые принтеры, мфу, коммутаторы с настроенный gw на lan pfsense4)
Возможно проблема на брандмауэре сервера 1С. Какая там операционная система? Если windows vista и новее, то возможно разрешения на доступ к серверу (и пингам в частности) мешает что-либо, например, не та зона сетевого интерфейса на 10.2.2.203 (общественная сеть/сеть предприятия/домашняя сеть), либо если есть разрешение, то оно возможно открыто лишь для сети 10.2.2.0/24.
В самом начале Вы уже говорили, что для клиента lan pfsense4 виден, что скажет пинг на другие хосты в 10.2.2.0/24? В идеале тогда для проверки - отключить firewall на сервере (временно !!! только для теста, а то скажете "дядька научил")
-
Пинги на другие хосты сети 10.2.2.0/24 тоже не проходят, к примеру 10.2.2.200 и 10.2.2.202 -это контроллеры домена, уж они точно отвечают из самой сети 10.2.2.0/24 да и доступны из сети 192.168.0.0/24(настроены доверительные отношения между доменами)
Проблем у хоста нет, файервол отключен, на хосте установлен windows server 2008R2.
-
Интересно :)
А что на pfSense01: Farewall вкладка OpenVPN: все везде разрешено или есть запреты?
-
Правило одно, разрешающее все.
Все таки склоняюсь к тому, что проблема на pfsense04 заключается в multiwan, настроенный в режиме failover, потому как если оставить один интерфейс, то все нормально работает.
Но нет возможности просто оставить один wan, кот. по статике, так как инет по нему очень дорогой, по этому перешли на yota и провайдер монополист не пускает других на свою территорию.
Находимся на производстве, где только один провайдер, он же арендодатель производственных помещений. -
скрин исправленного
сброс не делал, но попробую перезагрузить шлюз.верно, multiwan - в тех правилах, где werter говорил о необходимости указать явно шлюз - указана группа OSNOVA, где WANGW (куда приходит openVPN) будет задействован только когда YOTAGW будет не доступен. В правилах для сетей за pfsense01 нужно указать gateway WANGW, и их можно объединить в одно правило с помощью алиаса для этих стетей
-
Правило одно, разрешающее все.
Все таки склоняюсь к тому, что проблема на pfsense04 заключается в multiwan, настроенный в режиме failover, потому как если оставить один интерфейс, то все нормально работает.
Но нет возможности просто оставить один wan, кот. по статике, так как инет по нему очень дорогой, по этому перешли на yota и провайдер монополист не пускает других на свою территорию.
Находимся на производстве, где только один провайдер, он же арендодатель производственных помещений.Может есть возможность пустить тогда и OpenVPN через yota (это подключение что из себя представляет?)?
-
верно, multiwan - в тех правилах, где werter говорил о необходимости указать явно шлюз - указана группа OSNOVA, где WANGW (куда приходит openVPN) будет задействован только когда YOTAGW будет не доступен. В правилах для сетей за pfsense01 нужно указать gateway WANGW
наверное вы имели ввиду pfsense04, вместо группы OSNOVA и жёстко указывал шлюзом WANGW, все тоже, в сеть не пускает.
можно объединить в одно правило с помощью алиаса для этих стетей
вот здесь не понял, поясните
-
подключение можно пустить, но оно не стабильно держится. интерфейс yota связан с роутером yota
-
верно, multiwan - в тех правилах, где werter говорил о необходимости указать явно шлюз - указана группа OSNOVA, где WANGW (куда приходит openVPN) будет задействован только когда YOTAGW будет не доступен. В правилах для сетей за pfsense01 нужно указать gateway WANGW
наверное вы имели ввиду pfsense04, вместо группы OSNOVA и жёстко указывал шлюзом WANGW, все тоже, в сеть не пускает.
да, все это относится к pfsense04.
А в Diagnostics: Packet Capture на pfsense04 на интерфейсе openVPN все ли пакеты приходят и уходят если пинговать:
- сам pfsense04
- сервер 1С
Если пакеты есть - попробуйте указать Level of Detail = Full, может быть там увидится какая-либо ошибка. Приходилось встречать, последнее например, ошибка ipsec - bad chsum. При Level of Detail = Normal ошибки чексуммы пакета не видел.
-
можно объединить в одно правило с помощью алиаса для этих стетей
вот здесь не понял, поясните
Думал и так понятно…. Имел в виду, что по отношению к pfsense04 локальные сети, который маршрутизируются в сторону pfsense01 лично я бы объединил в alias (Firewall: Aliases) (вижу, что уже используется в правилах собственный алиас, и он только один - mailru)
Создать алиас LanNet_on_pfSense01 и добавить туда сети: 192.168.4.0/24; 192.168.2.0/24; 10.8.0.0/24. Затем уже можно в Firewall на вкладке Lan указать правило Source:LAN net -> Destination: LanNet_on_pfSense01 (наш алиас) Gateway:WANGW.
А так получается на скринах 3 одинаковых правила, где меняются подсети: растет число правил и увеличивается время на их изменение (если потребуется)
-
А в Diagnostics: Packet Capture на pfsense04 на интерфейсе openVPN все ли пакеты приходят и уходят если пинговать:
- сам pfsense04
- сервер 1С
Если пакеты есть - попробуйте указать Level of Detail = Full, может быть там увидится какая-либо ошибка. Приходилось встречать, последнее например, ошибка ipsec - bad chsum. При Level of Detail = Normal ошибки чексуммы пакета не видел.
вот данные:
12:32:56.170974 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8717, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.5: ICMP echo request, id 1, seq 113, length 40
12:32:56.171060 AF IPv4 (2), length 64: (tos 0x0, ttl 64, id 3245, offset 0, flags [none], proto ICMP (1), length 60)
10.2.2.5 > 10.8.0.10: ICMP echo reply, id 1, seq 113, length 40
12:32:57.173471 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8724, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.5: ICMP echo request, id 1, seq 114, length 40
12:32:57.173506 AF IPv4 (2), length 64: (tos 0x0, ttl 64, id 53188, offset 0, flags [none], proto ICMP (1), length 60)
10.2.2.5 > 10.8.0.10: ICMP echo reply, id 1, seq 114, length 40
12:32:58.175400 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8755, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.5: ICMP echo request, id 1, seq 115, length 40
12:32:58.175439 AF IPv4 (2), length 64: (tos 0x0, ttl 64, id 14563, offset 0, flags [none], proto ICMP (1), length 60)
10.2.2.5 > 10.8.0.10: ICMP echo reply, id 1, seq 115, length 40
12:32:59.177588 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8760, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.5: ICMP echo request, id 1, seq 116, length 40
12:32:59.177628 AF IPv4 (2), length 64: (tos 0x0, ttl 64, id 9004, offset 0, flags [none], proto ICMP (1), length 60)
10.2.2.5 > 10.8.0.10: ICMP echo reply, id 1, seq 116, length 40
12:33:03.084690 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8818, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.203: ICMP echo request, id 1, seq 117, length 40
12:33:07.729089 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8893, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.203: ICMP echo request, id 1, seq 118, length 40
12:33:12.731428 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8982, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.203: ICMP echo request, id 1, seq 119, length 40
12:33:17.731690 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 9052, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.203: ICMP echo request, id 1, seq 120, length 40
 -
сделал алиас, как вы и советовали. жестко выставил шлюзом wangw, доступа к локалке 10.2.2.0/24 нет. при такой настройке пропал доступ к сетям 192.168.2.0/24 и 192.168.4.0/24 из 10.2.2.0/24
-
А в Diagnostics: Packet Capture на pfsense04 на интерфейсе openVPN все ли пакеты приходят и уходят если пинговать:
- сам pfsense04
- сервер 1С
Если пакеты есть - попробуйте указать Level of Detail = Full, может быть там увидится какая-либо ошибка. Приходилось встречать, последнее например, ошибка ipsec - bad chsum. При Level of Detail = Normal ошибки чексуммы пакета не видел.
вот данные:
12:32:56.170974 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8717, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.5: ICMP echo request, id 1, seq 113, length 40
12:32:56.171060 AF IPv4 (2), length 64: (tos 0x0, ttl 64, id 3245, offset 0, flags [none], proto ICMP (1), length 60)
10.2.2.5 > 10.8.0.10: ICMP echo reply, id 1, seq 113, length 40
12:32:57.173471 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8724, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.5: ICMP echo request, id 1, seq 114, length 40
12:32:57.173506 AF IPv4 (2), length 64: (tos 0x0, ttl 64, id 53188, offset 0, flags [none], proto ICMP (1), length 60)
10.2.2.5 > 10.8.0.10: ICMP echo reply, id 1, seq 114, length 40
12:32:58.175400 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8755, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.5: ICMP echo request, id 1, seq 115, length 40
12:32:58.175439 AF IPv4 (2), length 64: (tos 0x0, ttl 64, id 14563, offset 0, flags [none], proto ICMP (1), length 60)
10.2.2.5 > 10.8.0.10: ICMP echo reply, id 1, seq 115, length 40
12:32:59.177588 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8760, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.5: ICMP echo request, id 1, seq 116, length 40
12:32:59.177628 AF IPv4 (2), length 64: (tos 0x0, ttl 64, id 9004, offset 0, flags [none], proto ICMP (1), length 60)
10.2.2.5 > 10.8.0.10: ICMP echo reply, id 1, seq 116, length 40
12:33:03.084690 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8818, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.203: ICMP echo request, id 1, seq 117, length 40
12:33:07.729089 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8893, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.203: ICMP echo request, id 1, seq 118, length 40
12:33:12.731428 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 8982, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.203: ICMP echo request, id 1, seq 119, length 40
12:33:17.731690 AF IPv4 (2), length 64: (tos 0x0, ttl 127, id 9052, offset 0, flags [none], proto ICMP (1), length 60)
10.8.0.10 > 10.2.2.203: ICMP echo request, id 1, seq 120, length 40ok. Видим что пакеты приходят, а вот ответа уже нет. Теперь нужно найти: 1) отправляет ли что pfsense04 в lan и 2) принимает ли что хост 10.2.2.203
сделал алиас, как вы и советовали. жестко выставил шлюзом wangw, доступа к локалке 10.2.2.0/24 нет. при такой настройке пропал доступ к сетям 192.168.2.0/24 и 192.168.4.0/24 из 10.2.2.0/24
Что-то с алиасом напутано значит. Когда правила работают, то и должны также работать если просто была замена CIDR на его алиас
отписал в личку
-
Yota - Tier 1. Получается , что это соединение приоритетнее WAN. Так надо?
Далее. Настоятельно рекомендую сперва попытаться решить проблему используя один линк. И этот линк - WAN.
И только после этого работать с группой. -
2 aka_daemon
Попробуйте добавить на pfsense04 настройках OpenVPN в Advanced … директиву route 10.10.10.0 255.255.255.0;
-
Yota - Tier 1. Получается , что это соединение приоритетнее WAN. Так надо?
через yota пользователи выходят в инет, так дешевле чем через выделенный канал, берут 20тыс. за 6 мегабит
Далее. Настоятельно рекомендую сперва попытаться решить проблему используя один линк. И этот линк - WAN.
И только после этого работать с группой.если убрать балансировку и оставить один канал через статический wan, то все работает.
