Ipsec, 2 подсети с общим пулом адресов. Возможно?
-
Добрый день! Имеется 2 подсети на разных зданиях: Сеть А - 192.168.1.0. В качестве шлюза используется pfsense (WAN-195.112.116.X; LAN-192.168.1.1).
Сеть Б - 172.27.0.0. В качестве шлюза используется роутер Zyxel Omni II (WAN-195.112.112.X; LAN-172.27.0.1).
На pfSense поднят сервер Ipsec. Zyxel подключен к нему. Тоесть сети видят друг друга, пинги ходят, шары открываются.
В обоих подсетях имеется своя телефонная станция (NS500 и TDE200 на схеме). Собственно задача заключается в следующем: Требуется прозрачное соединение этих станций друг с другом, чтобы они могли пинговать друг друга. Вся сложность в том, что для этого они должны быть в одной подсети (тоесть их пулл должен быть одинаковым), иначе они друг друга не видят и не пингуются.
Возможно ли с нынешним Ipsec реализовать это? Если нет, то что для этого требуется и как сделать? Спасибо за ваше время!
-
Неужели никто не может помочь с решением данной задачи?
-
Кроме идеи NAT с обеих сторон для адресов станций пока идей нет.
Ну или перевести обе подсети в одну, не знаю, умеет ли IPSEC бриджевать сети, Open VPN - точно умеет. -
Вам необходимо нормально настроить маршрутизацию и отключить NAT между сетями.
-
Вам необходимо нормально настроить маршрутизацию и отключить NAT между сетями.
А можно поподробнее, пожалуйста?
-
Вам необходимо нормально настроить маршрутизацию и отключить NAT между сетями.
А почему вы думаете, что у ТС есть между сетями НАТ?
-
2 IStandAlone
А можно ли NS500 и TDE200 назначить доп. IP из одной подсети ? Есть ли у них такая возможность ?P.s. IPsec-туннель может быть как tun , так и tap.
-
P.s. IPsec-туннель может быть как tun , так и tap.
Недавно в IPsec :)
Вы имеете в виду режимы transport и tunnel?
http://howdoesinternetwork.com/2014/ipsec-tunnel-transport-mode
https://habrahabr.ru/post/170895/Имхо, конечно, но все же это не полная аналогия с tun и tap.
Вообще странная вещь IPsec - ни маршрутов в таблице, ни интерфейсов… OVPN как-то понятнее и логичнее, что-ли...
-
2 IStandAlone
А можно ли NS500 и TDE200 назначить доп. IP из одной подсети ? Есть ли у них такая возможность ?P.s. IPsec-туннель может быть как tun , так и tap.
Имеется некая плата VOip, для которой назначается свой айпи. Только из той же подсети, что и основной айпишник АТСки (скрин лан настройки TDE200). С NS500 похожая ситуация. Можно по имению лицензий создавать виртуальные платы.
Нам настройку по объединению 2-х АТС (на самих АТС) делал подрядчик со стороны, сказал только, чтобы АТС были в одной подсети (типо 192.168.2.1; 192.168.2.2), иначе работать не будет. Никаких параметров авторизации, кроме апи, маски, шлюза на них нет. Должна быть прозрачная видимость из одной подсетки. Мод в Ipsec tunnel(скрин).
-
2 IStandAlone
Мил человек, так вы эти ip-АТС по iax2 свяжите между собой да правильно inbound\outbound route настройте на них.
P.s. Сделайте бэкап конфигов этих атс и обновите на них ПО до послед. версий.
-
2 IStandAlone
Мил человек, так вы эти ip-АТС по iax2 свяжите между собой да правильно inbound\outbound route настройте на них.
P.s. Сделайте бэкап конфигов этих атс и обновите на них ПО до послед. версий.
ПО на них свежее. Перед данной задачей обновлялось.
-
Т.е. если в настройках карты в поле IP-адрес для VoIP-DSP указать адрес 127.27.0.5 оно не работает?
Не ошиблись ли вы маской 255.255.252.0 ? -
Т.е. если в настройках карты в поле IP-адрес для VoIP-DSP указать адрес 127.27.0.5 оно не работает?
Не ошиблись ли вы маской 255.255.252.0 ?Это маска локальной сети, где находится TDE200 - 192.168.1.100/255.255.252.0. Вот для VOip адрес не пробовал менять. Не понимаю только почему 172.27.0.5? Ведь это ip NS500
-
Судя по описанию должна быть "видимость" TDE200 и NS500. Не так?
-
Судя по описанию должна быть "видимость" TDE200 и NS500. Не так?
Все верно. Должны друг друга пинговать
-
В нем\них есть встроенный пинг?
-
В нем\них есть встроенный пинг?
Да. Вот как раз разбираюсь. Интересная штука получается… Из консоли TDE200 пингую шлюз, через который настроен Ipsec. Пинг до шлюза не идет. С компа шлюз пингую, с АТС комп пингуется, но шлюз не хочет. Аналогично и со шлюза - пинг до компа идет, до атс нет.
NS500 пингует свой шлюз в своей подсети. Пытаюсь пингануть шлюз удаленной подсети, сразу вываливает ошибку в браузере (скрин). Как будто даже пытаться не хочет другую подсеть пинговать.
-
Пинг до шлюза не идет
-
2 IStandAlone
Давайте обратимся к теории - http://ip-calculator.ru/#!ip=192.168.1.99/30Hostmin 192.168.1.97
Hostmax 192.168.1.98Меняйте маску на /24 в настр. обеих АТС.
-
2 IStandAlone
Давайте обратимся к теории - http://ip-calculator.ru/#!ip=192.168.1.99/30Маску менял с 255.255.252.0 на 255.255.255.0 для TDE200