Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Как завернуть интернет трафик в IPSec тоннель??

    Scheduled Pinned Locked Moved Russian
    5 Posts 3 Posters 1.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      arkan1973
      last edited by

      Вводная: Центральный и удаленный офисы объединены через IPSec на pfsense. Доступ к ресурсам центрального офиса работает прекрасно. Удаленный офис подключен к провайдеру X (он там единственный), естественно WAN является дефолтным шлюзом и весь интернет трафик идет через него. В Центральном офисе два провайдера X и Y, дефолтным является Y, а X собственно и подключался для обеспечения тоннеля с удаленным офисом (в пределах одного узла провайдер X трафик не режет, поэтому я получил при копировании скорость до 10 Мегабайт в секунду при заявленной скорости подключения Центрального офиса к провайдеру X  в 6 Мбит/с).
      Теперь стоит вопрос, как интернет трафик из удаленного офиса запихнуть в IPsec и направить через провайдера Y центрального офиса??
      Если это получится, то в удаленном офисе снижу скорость до тех-же 6 Мбит/с и сэкономлю немножко денех.
      Помогите идеями, коллеги…

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Доброе
        Схему с адресацией, скрины настроек ipsec, скрины правил fw.

        1 Reply Last reply Reply Quote 0
        • P
          pigbrother
          last edited by

          Официальные рекомендации выгладят так:
          https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel

          Грубо - Phase 2 в 0.0.0.0/0 и outbound NAT в удаленном офисе. Вместо Manual в outbound NAT можно выбрать появившийся  в новых версиях  Hybrid  outbound NAT.

          1 Reply Last reply Reply Quote 0
          • A
            arkan1973
            last edited by

            @pigbrother:

            Официальные рекомендации выгладят так:
            https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel

            Грубо - Phase 2 в 0.0.0.0/0 и outbound NAT в удаленном офисе. Вместо Manual в outbound NAT можно выбрать появившийся  в новых версиях  Hybrid  outbound NAT.

            Результат достигнут положительный!!! Большое спасибо!!

            Единственный вопрос: Phase 2 0.0.0.0/0 по сути перекрыло  мои ранее введенные параметры? Раньше в Фазе 2 были прописаны маршруты типа: Lan удаленного офиса -> Host центрального офиса. Сейчас я вижу что эти записи в Status/IpSec даже не активны. Активна лишь одна Phase 2 0.0.0.0/0, и она обеспечивает доступ ко всем ресурсам Центрального офиса для Удаленного офиса. В принципе не критично. Буду разруливать VLANами на свичах внутри центрального офиса - все равно планировал этим заняться…

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              @arkan1973:

              Единственный вопрос: Phase 2 0.0.0.0/0 по сути перекрыло  мои ранее введенные параметры?

              Ес-но. Получилось правило заворачивать весь трафик в туннель.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.