Ipsec, 2 подсети с общим пулом адресов. Возможно?
-
Доброе утро. Вчера уходил с работы, так пинги и не ходили. Сегодня утром пришел, чудеса… Пинганул с pfSense АТС - идут. С АТС шдюз-ходят! Чудеса. Вчера, кроме как добавления разрешающее правило для LAN для ip 192.168.1.100 ничего не делал (от безысходности). Но после того, как добавил правило, проверил, пинги так же не ходили. Сегодня бегают. Но до 172.27.0.5 по-прежнему не достучаться. Причем комп удаленной сети и шлюз пингуются (172.27.0.7 и 172.27.0.1) .Есть еще идеи у кого?
-
Доброе утро. Вчера уходил с работы, так пинги и не ходили. Сегодня утром пришел, чудеса… Пинганул с pfSense АТС - идут. С АТС шдюз-ходят! Чудеса. Вчера, кроме как добавления разрешающее правило для LAN для ip 192.168.1.100 ничего не делал (от безысходности). Но после того, как добавил правило, проверил, пинги так же не ходили. Сегодня бегают. Но до 172.27.0.5 по-прежнему не достучаться. Причем комп удаленной сети и шлюз пингуются (172.27.0.7 и 172.27.0.1) .Есть еще идеи у кого?
Вы проверьте — нету ли у вас использования одного и того-же IP адреса в сети. "Ходят - не ходят" очень напоминают такую ситуацию.
И когда проверяете связь параллельно пингу лучше всего запускать tcpdump для понимания - кто виноват.Вам необходимо нормально настроить маршрутизацию и отключить NAT между сетями.
А можно поподробнее, пожалуйста?
В IPsec во второй фазе подключения можно указать Remote Network.
-
Доброе утро. Вчера уходил с работы, так пинги и не ходили. Сегодня утром пришел, чудеса… Пинганул с pfSense АТС - идут. С АТС шдюз-ходят! Чудеса. Вчера, кроме как добавления разрешающее правило для LAN для ip 192.168.1.100 ничего не делал (от безысходности). Но после того, как добавил правило, проверил, пинги так же не ходили. Сегодня бегают. Но до 172.27.0.5 по-прежнему не достучаться. Причем комп удаленной сети и шлюз пингуются (172.27.0.7 и 172.27.0.1) .Есть еще идеи у кого?
Доброе.
Идеи есть :1. Добавить на LAN pf явное разрешающее правило, где в сурс будет LAN net , а в дест - адрес удаленной сети. Поставить это правило выше всех.
Проверить , не добавляли ли вы руками маршруты в наст. pf. Сделать reset states на pf.2. После изменения сет. настроек (маски) на обеих АТС наконец-то их перезагрузить. И не спрашивайте зачем.
P.s. Покажите таб. марш. на pf при поднятом ipsec.
-
Доброе утро. Вчера уходил с работы, так пинги и не ходили. Сегодня утром пришел, чудеса… Пинганул с pfSense АТС - идут. С АТС шдюз-ходят! Чудеса. Вчера, кроме как добавления разрешающее правило для LAN для ip 192.168.1.100 ничего не делал (от безысходности). Но после того, как добавил правило, проверил, пинги так же не ходили. Сегодня бегают. Но до 172.27.0.5 по-прежнему не достучаться. Причем комп удаленной сети и шлюз пингуются (172.27.0.7 и 172.27.0.1) .Есть еще идеи у кого?
Вы проверьте — нету ли у вас использования одного и того-же IP адреса в сети. "Ходят - не ходят" очень напоминают такую ситуацию.
И когда проверяете связь параллельно пингу лучше всего запускать tcpdump для понимания - кто виноват.Вам необходимо нормально настроить маршрутизацию и отключить NAT между сетями.
А можно поподробнее, пожалуйста?
В IPsec во второй фазе подключения можно указать Remote Network.
так и было
-
Доброе утро. Вчера уходил с работы, так пинги и не ходили. Сегодня утром пришел, чудеса… Пинганул с pfSense АТС - идут. С АТС шдюз-ходят! Чудеса. Вчера, кроме как добавления разрешающее правило для LAN для ip 192.168.1.100 ничего не делал (от безысходности). Но после того, как добавил правило, проверил, пинги так же не ходили. Сегодня бегают. Но до 172.27.0.5 по-прежнему не достучаться. Причем комп удаленной сети и шлюз пингуются (172.27.0.7 и 172.27.0.1) .Есть еще идеи у кого?
Доброе.
Идеи есть :1. Добавить на LAN pf явное разрешающее правило, где в сурс будет LAN net , а в дест - адрес удаленной сети. Поставить это правило выше всех.
Проверить , не добавляли ли вы руками маршруты в наст. pf. Сделать reset states на pf.2. После изменения сет. настроек (маски) на обеих АТС наконец-то их перезагрузить. И не спрашивайте зачем.
P.s. Покажите таб. марш. на pf при поднятом ipsec.
1.Правило было. Переместил вверх.
2. АТС TDE200 после смены маски подсети вчера перезагружалась. Таблица во вложении.
-
Возможно, прозвучит глупо, но проверьте нет ли дублирующихся MACов.
-
Чертовщина какая то. Опять со шлюза 192.168.1.1 пинг не идет в удаленную подсеть 172.27.0.0. Со шлюза 172.27.0.1 сеть 192.168.1.0 пингуется(кроме АТС 192.168.1.100)
-
-
Что говорит tracert c машин за pf в сеть за зюхелем ? Где затык ?
Прошивка на зюхеле - последняя ? Все же склоняюсь к мысли , что надо на зюхеле поколдовать - правила fw, nat …
-
Что говорит tracert c машин за pf в сеть за зюхелем ? Где затык ?
Прошивка на зюхеле - последняя ? Все же склоняюсь к мысли , что надо на зюхеле поколдовать - правила fw, nat …
Присылаю трассировку с обеих сторон. На зухеле обновил прошивку. Теперь последняя.
-
Меня больше всего смущает то, что pfSense не пингует АТС в своей подсети. Комп в этой же подсети пингует. Мне кажется копать нужно на pfSense.
-
Кто у вас в кач-ве dhcp работает ?
-
-
Сервер поднят на Windows Server 2008
Какой диапазон ip но выдает ? С какого по какой ?
-
Какой диапазон ip но выдает ? С какого по какой ?
192.168.2.10-192.168.3.199. Данные адреса не попадают под пулл.
-
Нашел косяк! У TDE200 шлюз указан и потому через него пинги идут в удаленную подсеть. А на станции NS500, которая сейчас 172.27.0.5, шлюз не указан. Он точно настраивался там, но видимо когда подсеть менялась, я забыл его указать с новым айпи. Соответсвенно на данный момент АТСки пингуют одна другую. Спасибо всем большое за советы и за потраченное время. Осталось только разобраться, почему периодически pfSense перестает пинговать АТС внутри своей подсети, хотя та прекрасно видит локальные компьютеры.
-
Классическая ошибка, на эти грабли наступал сам.
Зато теперь всегда будете проверять правильность указания шлюза. -
А есть у кого-нибудь идеи, почему пинг пропадает между TDE200 (192.168.1.98) и pfSense (192.168.1.1)? Дублей ip в сети нет. Пинг рандомно то появляется, то пропадает. Утром был, часам к 10 пропал. Понимаю, что ситуация похожая на идентичные айпишники в сети, но остальные устройства в сети так же пингуют АТС, а шлюз не хочет. Ума не приложу, что еще может помешать шлюзу достучаться до АТС прямым обращением по ее ip. Причем айпишник менялся у АТС, чтобы наверняка исключить вариант с 2 идентичными айпи в сети.
-
Попингуйте с pfSense другой IP, не TDE200.
Попингуйте TDE200 с другого PC . -
С любого ПК в локальной сети до АТС пинг доходит (пробовал еще на 2х). С АТС аналогично до компов ходит тоже. Шлюз так же пингует локальные компы (3.33 и 1.103). А вот с АТС он никак не хочет дружить. Появляется связь и пропадает. Никакой зависимости и последовательности.
