помогите прописать маршрут

werter · Aug 26, 2015, 8:21 AM

Зачем LANGW нужен? У вас же есть Moscow. И маршрут уже нарисован.
Далее, у всех кому нужен доступ в Мск, шлюзом должен быть pfsense.

И еще, зачем "костыль" в виде DFL? Оставьте только pf и поднимите на нем IPSEC.

Cooller · Aug 26, 2015, 8:23 AM

@werter:

Зачем LANGW нужен? У вас же есть Moscow. И маршрут уже нарисован.
Далее, у всех кому нужен доступ в Мск, шлюзом должен быть pfsense.

И еще, зачем "костыль" в виде DFL? Оставьте только pf и поднимите на нем IPSEC.

DFL стоит давно, на другом конце точто такой же DFL. Тоесть просто нужно удалить шлюз LANGW?

Cooller · Aug 26, 2015, 8:27 AM

@werter:

Зачем LANGW нужен? У вас же есть Moscow. И маршрут уже нарисован.
Далее, у всех кому нужен доступ в Мск, шлюзом должен быть pfsense.

И еще, зачем "костыль" в виде DFL? Оставьте только pf и поднимите на нем IPSEC.

Удалил LANGW, поставил на вкладке NAT - Outbound - Automatic outbound NAT rule generation. Итог с pfSense 172.20.128.144 пингуется, из сети 100% потерь.
Картинки прикрепились?

Scodezan · Aug 26, 2015, 11:25 AM

в https://forum.pfsense.org/index.php?action=dlattach;topic=98567.0;attach=66282

два последних правила должны быть выше остальных
и для работы ping/tracert должны разрешать icmp трафик.

Cooller · Aug 26, 2015, 11:34 AM

@Scodezan:

в https://forum.pfsense.org/index.php?action=dlattach;topic=98567.0;attach=66282

два последних правила должны быть выше остальных
и для работы ping/tracert должны разрешать icmp трафик.

Вот что я сделал
https://forum.pfsense.org/index.php?action=dlattach;topic=98567.0;attach=66299;image

Пинг все так же не идет.
https://forum.pfsense.org/index.php?action=dlattach;topic=98567.0;attach=66301;image

Scodezan · Aug 26, 2015, 11:58 AM

странно… А время достаточно прошло? На pf достаточно временами долго обновляются.
А может у вас шлюз явно указан на wan в interfaces, но вроде не должно влиять.

Cooller · Aug 26, 2015, 12:08 PM

@Scodezan:

странно… А время достаточно прошло? На pf достаточно временами долго обновляются.
А может у вас шлюз явно указан на wan в interfaces, но вроде не должно влиять.

Ну мне кажется от времени не зависит. Всмысле я ждал и 1 час когда отлучался.
На ван интерфейсе стоит шлюз провайдера.
Вот на лан интерфейсе ничего не стоит, хотя ставил и 172.21.128.2, но результата это не дало никакого.

Scodezan · Aug 26, 2015, 12:28 PM

Я про то, когда на интерфейсе явно шлюз прописан применяются специальные правила фаервола, и начинается всякая трудно объяснимая ерунда.

Cooller · Aug 26, 2015, 12:53 PM

Вот что получилось в итоге. У меня есть 172.21.128.0 с маской 255.255.254.0.
Мой комп с которого я сижу и пингую московскую сеть 172.21.129.109.
Так вот из подсети 172.21.128.* все работает. А с 172.21.129.* теряются пакеты. В чем может быть дело?

werter · Aug 26, 2015, 1:20 PM

@Cooller:

Вот что получилось в итоге. У меня есть 172.21.128.0 с маской 255.255.254.0.
Мой комп с которого я сижу и пингую московскую сеть 172.21.129.109.
Так вот из подсети 172.21.128.* все работает. А с 172.21.129.* теряются пакеты. В чем может быть дело?

Разбирайтесь с маршрутами, правилами fw в сети 172.21.129.* . Там же DFL стоит? Вот на нем и "рисуйте".

DFL стоит давно, на другом конце точто такой же DFL. Тоесть просто нужно удалить шлюз LANGW?

Это не причина. Не любите себе моск. Настраивайте ipsec на pfsense (вместо DFL). Pfsense намного гибче, удобнее и нагляднее.

PbIXTOP · Sep 22, 2015, 7:53 AM

Проще всего будет отдавать компьютерам в сети дополнительные маршруты через DHCP сразу на DFL.