Ipsec, 2 подсети с общим пулом адресов. Возможно?

IStandAlone

@PbIXTOP:

Вам необходимо нормально настроить маршрутизацию и отключить NAT между сетями.

А можно поподробнее, пожалуйста?

pigbrother

@PbIXTOP:

Вам необходимо нормально настроить маршрутизацию и отключить NAT между сетями.

А почему вы думаете, что у ТС есть между сетями НАТ?

werter

2 IStandAlone
А можно ли NS500 и TDE200 назначить доп. IP из одной подсети ? Есть ли у них такая возможность ?

P.s. IPsec-туннель может быть как tun , так и tap.

pigbrother

P.s. IPsec-туннель может быть как tun , так и tap.

Недавно в IPsec :)
Вы имеете в виду режимы transport и tunnel?
http://howdoesinternetwork.com/2014/ipsec-tunnel-transport-mode
https://habrahabr.ru/post/170895/

Имхо, конечно, но все же это не полная аналогия с tun и tap.

Вообще странная вещь IPsec - ни маршрутов в таблице, ни интерфейсов… OVPN как-то понятнее и логичнее, что-ли...

IStandAlone

@werter:

2 IStandAlone
А можно ли NS500 и TDE200 назначить доп. IP из одной подсети ? Есть ли у них такая возможность ?

P.s. IPsec-туннель может быть как tun , так и tap.

Имеется некая плата VOip, для которой назначается свой айпи. Только из той же подсети, что и основной айпишник АТСки (скрин лан настройки TDE200). С NS500 похожая ситуация. Можно по имению лицензий создавать виртуальные платы.
Нам настройку по объединению 2-х АТС (на самих АТС) делал подрядчик со стороны, сказал только, чтобы АТС были в одной подсети (типо 192.168.2.1; 192.168.2.2), иначе работать не будет. Никаких параметров авторизации, кроме апи, маски, шлюза на них нет. Должна быть прозрачная видимость из одной подсетки. Мод в Ipsec tunnel(скрин).

TDE200_lan.jpg_thumb

Ipsec.jpg_thumb

werter

2 IStandAlone

Мил человек, так вы эти ip-АТС по iax2 свяжите между собой да правильно inbound\outbound route настройте на них.

P.s. Сделайте бэкап конфигов этих атс и обновите на них ПО до послед. версий.

IStandAlone

@werter:

2 IStandAlone

Мил человек, так вы эти ip-АТС по iax2 свяжите между собой да правильно inbound\outbound route настройте на них.

P.s. Сделайте бэкап конфигов этих атс и обновите на них ПО до послед. версий.

ПО на них свежее. Перед данной задачей обновлялось.

pigbrother

Т.е. если в настройках карты в поле IP-адрес для VoIP-DSP указать адрес 127.27.0.5 оно не работает?
Не ошиблись ли вы маской 255.255.252.0 ?

IStandAlone

@pigbrother:

Т.е. если в настройках карты в поле IP-адрес для VoIP-DSP указать адрес 127.27.0.5 оно не работает?
Не ошиблись ли вы маской 255.255.252.0 ?

Это маска локальной сети, где находится TDE200 - 192.168.1.100/255.255.252.0. Вот для VOip адрес не пробовал менять. Не понимаю только почему 172.27.0.5? Ведь это ip NS500

pigbrother

Судя по описанию должна быть "видимость" TDE200 и NS500. Не так?

IStandAlone

@pigbrother:

Судя по описанию должна быть "видимость" TDE200 и NS500. Не так?

Все верно. Должны друг друга пинговать

pigbrother

В нем\них есть встроенный пинг?

IStandAlone

@pigbrother:

В нем\них есть встроенный пинг?

Да. Вот как раз разбираюсь. Интересная штука получается… Из консоли TDE200 пингую шлюз, через который настроен Ipsec. Пинг до шлюза не идет. С компа шлюз пингую, с АТС комп пингуется, но шлюз не хочет. Аналогично и со шлюза - пинг до компа идет, до атс нет.
NS500 пингует свой шлюз в своей подсети. Пытаюсь пингануть шлюз удаленной подсети, сразу вываливает ошибку в браузере (скрин). Как будто даже пытаться не хочет другую подсеть пинговать.

NS500_ping.jpg_thumb

pigbrother

Пинг до шлюза не идет

werter

2 IStandAlone
Давайте обратимся к теории - http://ip-calculator.ru/#!ip=192.168.1.99/30

Hostmin 192.168.1.97
Hostmax 192.168.1.98

Меняйте маску на /24 в настр. обеих АТС.

IStandAlone

@werter:

2 IStandAlone
Давайте обратимся к теории - http://ip-calculator.ru/#!ip=192.168.1.99/30

Маску менял с 255.255.252.0 на 255.255.255.0 для TDE200

werter

@IStandAlone:

@werter:

2 IStandAlone
Давайте обратимся к теории - http://ip-calculator.ru/#!ip=192.168.1.99/30

Маску менял с 255.255.252.0 на 255.255.255.0 для TDE200

Шлюз пингуется ?

IStandAlone

@werter:

@IStandAlone:

@werter:

2 IStandAlone
Давайте обратимся к теории - http://ip-calculator.ru/#!ip=192.168.1.99/30

Маску менял с 255.255.252.0 на 255.255.255.0 для TDE200

Шлюз пингуется ?

Нет. Все так же.

TDE200.jpg_thumb

png.jpg_thumb

IStandAlone

Заметил одну интересную особенность. Когда пингую с компа АТС (рис.1) - пинг стабильный. Как только запускаю пинг с pfSense до АТС, то с компа пинг пропадает на какое то время (рис.2). Соответственно на pfSense тоже неудачно.

2.jpg_thumb

1.jpg_thumb

IStandAlone

Доброе утро. Вчера уходил с работы, так пинги и не ходили. Сегодня утром пришел, чудеса… Пинганул с pfSense АТС - идут. С АТС шдюз-ходят! Чудеса. Вчера, кроме как добавления разрешающее правило для LAN для ip 192.168.1.100 ничего не делал (от безысходности). Но после того, как добавил правило, проверил, пинги так же не ходили. Сегодня бегают. Но до 172.27.0.5 по-прежнему не достучаться. Причем комп удаленной сети и шлюз пингуются (172.27.0.7 и 172.27.0.1) .Есть еще идеи у кого?

ping.jpg_thumb

ping2.jpg_thumb