PortForwarding между wan1 и wan2
-
Доброго дня!
Прошу помощи есть IPSec клиент Dlink и сервер PfSense находящиеся у разных операторов,
И есть посредник который надо настроить и у которого есть 2 провода от этих операторов в лице PfSense или mikrotik.
Все подключения по PPPoE но с постоянными адресами.
Нужно объединить клиента и сервера, и так по подробнее:
Клиент DLink
Сервер и посредник PfSense или mikrotik|IPsecClient(PPPoE)| –-operator1--->|(PPPoE-wan1) pfsense или mikrotik (PPPoE-wan2)| ----operator2--->|(PPPoE)IPSecServer|
В идеале нужно пробросить udp500 и ESP протокол, или на крайний случай upd500,4500 (IPSecOverUdp)
Второй вариант не желателен так как нет уверенности совместимости сервера и клиента.Помогите пожалуйста куда мне двигаться. Раньше клиент и сервер мирно жили в течении последних 5 лет в одной сети но обстоятельства непреодолимой силы их развели :)
-
Рисуйте человеческую схему с адресацией.
-
Готово.
-
я бы попробовал 2 IPSec туннеля (а не клиент-сервера) от посредника
слева туннель: lan1 192.168.0.0/24 <–> lan2 192.168.1.0/23
справа туннель: lan1 192.168.0.0/23 <--> lan2 192.168.2.0/24
может еще что то придется на посреднике в маршрутах дописать
-
К сожалению этот вариант не рассматривается, так как посредник это практически вражеская территория.
Может неправильно выразился клиент это ИНИЦИАТОР соединения, а сервер СЛУШАТЕЛЬ.Рассматривается только вариант именно прослушивания одного внешнего интерфейса и проброс через другой внешний интерфейс.
Проброс на внутренний интерфейс все понятно, а вот с внешнего и через другой внешний пока не поддается пониманию…..
-
я так понял оба шнурка в pfSense "посредника" подключены и WANы подняты
1.делаешь проброс портов с WAN1 на адрес 172.1.1.33 + разрешения
2.добавь шлюз и пропиши маршрут на IPSec-сервере до 10.10.0.0/24, шлюз 172.0.1.90
3.на посреднике тоже добавить маршрут до 10.10.0.0/24 через шлюз WAN1
4.снимай галки Block private networks на всех WAN-интерфейсах, может еще Block bogon networks снять для пробы
5.смотри логи на посреднике и добавляй разрешения, если начнет блокировать -
я так понял оба шнурка в pfSense "посредника" подключены и WANы подняты
1.делаешь проброс портов с WAN1 на адрес 172.1.1.33 + разрешения
2.добавь шлюз и пропиши маршрут на IPSec-сервере до 10.10.0.0/24, шлюз 172.0.1.90
3.на посреднике тоже добавить маршрут до 10.10.0.0/24 через шлюз WAN1
4.снимай галки Block private networks на всех WAN-интерфейсах, может еще Block bogon networks снять для пробы
5.смотри логи на посреднике и добавляй разрешения, если начнет блокировать1,3,4,5-хорошо
Но 2-вот тут не могу ведь на IPSec-сервере на WAN поднят PPPoE и шлюз 172.0.1.90 не пропишет, дословно
The gateway address 172.0.1.90 does not lie within one of the chosen interface's subnets.Я вообще делал 1 и пытался поднимать NAT на WAN2 но не "догнал" в чем не прав но то, что на правильном пути понимаю.
У меня аналогичная сложность со второй задачей которую не могу решить:
Имеем: например WSUS сервер обновлений у оператора доступном на порту 80(http) ip адреса 85.28.194.58
Задача:
а) пустить всех с локалки IPSec сервера 192.168.1.0/24 к WSUS но схитрив указав у клиентов IP wsus-сервиса 192.168.1.1:8081
б) пустить всех клиентов с IPSec туннеля 192.168.0.0/24 к WSUS так-же указав у клиентов IP wsus-сервиса 192.168.1.1:8081
Решение:
а) работает на ура - из локалки летает :)
б) клиенты отказываются на отрез работать :(а,б - снимок правил прилагаю.
-
1,3,4,5-хорошо
Но 2-вот тут не могу ведь на IPSec-сервере на WAN поднят PPPoE и шлюз 172.0.1.90 не пропишет, дословно
The gateway address 172.0.1.90 does not lie within one of the chosen interface's subnets.надо указать серверу где искать 10.10.0.0/24 подсеть… щас может гуру ПФ подключатся и подскажут пути решения