Ipsec, 2 подсети с общим пулом адресов. Возможно?

IStandAlone

@pigbrother:

Судя по описанию должна быть "видимость" TDE200 и NS500. Не так?

Все верно. Должны друг друга пинговать

pigbrother

В нем\них есть встроенный пинг?

IStandAlone

@pigbrother:

В нем\них есть встроенный пинг?

Да. Вот как раз разбираюсь. Интересная штука получается… Из консоли TDE200 пингую шлюз, через который настроен Ipsec. Пинг до шлюза не идет. С компа шлюз пингую, с АТС комп пингуется, но шлюз не хочет. Аналогично и со шлюза - пинг до компа идет, до атс нет.
NS500 пингует свой шлюз в своей подсети. Пытаюсь пингануть шлюз удаленной подсети, сразу вываливает ошибку в браузере (скрин). Как будто даже пытаться не хочет другую подсеть пинговать.

NS500_ping.jpg_thumb

pigbrother

Пинг до шлюза не идет

werter

2 IStandAlone
Давайте обратимся к теории - http://ip-calculator.ru/#!ip=192.168.1.99/30

Hostmin 192.168.1.97
Hostmax 192.168.1.98

Меняйте маску на /24 в настр. обеих АТС.

IStandAlone

@werter:

2 IStandAlone
Давайте обратимся к теории - http://ip-calculator.ru/#!ip=192.168.1.99/30

Маску менял с 255.255.252.0 на 255.255.255.0 для TDE200

werter

@IStandAlone:

@werter:

2 IStandAlone
Давайте обратимся к теории - http://ip-calculator.ru/#!ip=192.168.1.99/30

Маску менял с 255.255.252.0 на 255.255.255.0 для TDE200

Шлюз пингуется ?

IStandAlone

@werter:

@IStandAlone:

@werter:

2 IStandAlone
Давайте обратимся к теории - http://ip-calculator.ru/#!ip=192.168.1.99/30

Маску менял с 255.255.252.0 на 255.255.255.0 для TDE200

Шлюз пингуется ?

Нет. Все так же.

TDE200.jpg_thumb

png.jpg_thumb

IStandAlone

Заметил одну интересную особенность. Когда пингую с компа АТС (рис.1) - пинг стабильный. Как только запускаю пинг с pfSense до АТС, то с компа пинг пропадает на какое то время (рис.2). Соответственно на pfSense тоже неудачно.

2.jpg_thumb

1.jpg_thumb

IStandAlone

Доброе утро. Вчера уходил с работы, так пинги и не ходили. Сегодня утром пришел, чудеса… Пинганул с pfSense АТС - идут. С АТС шдюз-ходят! Чудеса. Вчера, кроме как добавления разрешающее правило для LAN для ip 192.168.1.100 ничего не делал (от безысходности). Но после того, как добавил правило, проверил, пинги так же не ходили. Сегодня бегают. Но до 172.27.0.5 по-прежнему не достучаться. Причем комп удаленной сети и шлюз пингуются (172.27.0.7 и 172.27.0.1) .Есть еще идеи у кого?

ping.jpg_thumb

ping2.jpg_thumb

PbIXTOP

@IStandAlone:

Доброе утро. Вчера уходил с работы, так пинги и не ходили. Сегодня утром пришел, чудеса… Пинганул с pfSense АТС - идут. С АТС шдюз-ходят! Чудеса. Вчера, кроме как добавления разрешающее правило для LAN для ip 192.168.1.100 ничего не делал (от безысходности). Но после того, как добавил правило, проверил, пинги так же не ходили. Сегодня бегают. Но до 172.27.0.5 по-прежнему не достучаться. Причем комп удаленной сети и шлюз пингуются (172.27.0.7 и 172.27.0.1) .Есть еще идеи у кого?

Вы проверьте — нету ли у вас использования одного и того-же IP адреса в сети. "Ходят - не ходят" очень напоминают такую ситуацию.
И когда проверяете связь параллельно пингу лучше всего запускать tcpdump для понимания - кто виноват.

@IStandAlone:

@PbIXTOP:

Вам необходимо нормально настроить маршрутизацию и отключить NAT между сетями.

А можно поподробнее, пожалуйста?

В IPsec во второй фазе подключения можно указать Remote Network.

werter

@IStandAlone:

Доброе утро. Вчера уходил с работы, так пинги и не ходили. Сегодня утром пришел, чудеса… Пинганул с pfSense АТС - идут. С АТС шдюз-ходят! Чудеса. Вчера, кроме как добавления разрешающее правило для LAN для ip 192.168.1.100 ничего не делал (от безысходности). Но после того, как добавил правило, проверил, пинги так же не ходили. Сегодня бегают. Но до 172.27.0.5 по-прежнему не достучаться. Причем комп удаленной сети и шлюз пингуются (172.27.0.7 и 172.27.0.1) .Есть еще идеи у кого?

Доброе.
Идеи есть :

1. Добавить на LAN pf явное разрешающее правило, где в сурс будет LAN net , а в дест - адрес удаленной сети. Поставить это правило выше всех.
Проверить , не добавляли ли вы руками маршруты в наст. pf. Сделать reset states на pf.

2. После изменения сет. настроек (маски) на обеих АТС наконец-то их перезагрузить. И не спрашивайте зачем.

P.s. Покажите таб. марш. на pf при поднятом ipsec.

IStandAlone

@PbIXTOP:

@IStandAlone:

Доброе утро. Вчера уходил с работы, так пинги и не ходили. Сегодня утром пришел, чудеса… Пинганул с pfSense АТС - идут. С АТС шдюз-ходят! Чудеса. Вчера, кроме как добавления разрешающее правило для LAN для ip 192.168.1.100 ничего не делал (от безысходности). Но после того, как добавил правило, проверил, пинги так же не ходили. Сегодня бегают. Но до 172.27.0.5 по-прежнему не достучаться. Причем комп удаленной сети и шлюз пингуются (172.27.0.7 и 172.27.0.1) .Есть еще идеи у кого?

Вы проверьте — нету ли у вас использования одного и того-же IP адреса в сети. "Ходят - не ходят" очень напоминают такую ситуацию.
И когда проверяете связь параллельно пингу лучше всего запускать tcpdump для понимания - кто виноват.

@IStandAlone:

@PbIXTOP:

Вам необходимо нормально настроить маршрутизацию и отключить NAT между сетями.

А можно поподробнее, пожалуйста?

В IPsec во второй фазе подключения можно указать Remote Network.

так и было

Ipsec.jpg_thumb

IStandAlone

@werter:

@IStandAlone:

Доброе утро. Вчера уходил с работы, так пинги и не ходили. Сегодня утром пришел, чудеса… Пинганул с pfSense АТС - идут. С АТС шдюз-ходят! Чудеса. Вчера, кроме как добавления разрешающее правило для LAN для ip 192.168.1.100 ничего не делал (от безысходности). Но после того, как добавил правило, проверил, пинги так же не ходили. Сегодня бегают. Но до 172.27.0.5 по-прежнему не достучаться. Причем комп удаленной сети и шлюз пингуются (172.27.0.7 и 172.27.0.1) .Есть еще идеи у кого?

Доброе.
Идеи есть :

1. Добавить на LAN pf явное разрешающее правило, где в сурс будет LAN net , а в дест - адрес удаленной сети. Поставить это правило выше всех.
Проверить , не добавляли ли вы руками маршруты в наст. pf. Сделать reset states на pf.

2. После изменения сет. настроек (маски) на обеих АТС наконец-то их перезагрузить. И не спрашивайте зачем.

P.s. Покажите таб. марш. на pf при поднятом ipsec.

1.Правило было. Переместил вверх.
2. АТС TDE200 после смены маски подсети вчера перезагружалась. Таблица во вложении.

rulls.jpg_thumb

Routers.jpg_thumb

pigbrother

Возможно, прозвучит глупо, но проверьте нет ли дублирующихся MACов.

IStandAlone

Чертовщина какая то. Опять со шлюза 192.168.1.1 пинг не идет в удаленную подсеть 172.27.0.0. Со шлюза 172.27.0.1 сеть 192.168.1.0 пингуется(кроме АТС 192.168.1.100)

ping.jpg_thumb

IStandAlone

@pigbrother:

Возможно, прозвучит глупо, но проверьте нет ли дублирующихся MACов.

Посмотрю

werter

Что говорит tracert c машин за pf в сеть за зюхелем ? Где затык ?

Прошивка на зюхеле - последняя ? Все же склоняюсь к мысли , что надо на зюхеле поколдовать - правила fw, nat …

IStandAlone

@werter:

Что говорит tracert c машин за pf в сеть за зюхелем ? Где затык ?

Прошивка на зюхеле - последняя ? Все же склоняюсь к мысли , что надо на зюхеле поколдовать - правила fw, nat …

Присылаю трассировку с обеих сторон. На зухеле обновил прошивку. Теперь последняя.

tracert.jpg_thumb

tracert2.jpg_thumb

IStandAlone

Меня больше всего смущает то, что pfSense не пингует АТС в своей подсети. Комп в этой же подсети пингует. Мне кажется копать нужно на pfSense.