Маршрутизация между IPSec site to site VPN и IPSec IKEv2 VPN (Mobile Clients)
-
Всем доброго времени суток.
Описание текущей конфигурации:
Есть центральный офис "A", который подключен с помощью IPSec (site to site VPN) к головному офису "B" за границей. Через IPSec офис "A" получает доступ к нескольким подсетям офиса "B" (10.33.33.0/24, 10.44.44.0/24). Офис "B" принимает пакеты только если они отправлены из нашей подсети LAN (10.1.1.0/24).Теперь собственно проблема:
Настроил в офисе "A" IPSec IKEv2 VPN (Mobile Clients) для того чтобы можно было подключаться из дома к локальной сети организации. Этот VPN назначает клиентам виртуальные IP адреса (из подсети 192.168.32.0/24). Из дома подключаюсь без проблем, но имею доступ только в подсеть LAN (10.1.1.0/24). Для того, чтобы через установленный с офисом "A" IPSec IKEv2 VPN канал иметь доступ в интернет, можно добавить в Outbound NAT правило:Interface: WAN
Source: 192.168.32.0/24
Port: *
Destination: *
Port: *
NAT Address: WAN addressДоступ из дома в интернет (через VPN) появляется. Но чтобы из дома иметь доступ к подсетям головного офиса "B" нужно чтобы пакеты шли из подсети LAN (10.1.1.0/24), а они идут от адреса 192.168.32.1.
По идее нужно сделать следующее:
Пакет приходит с интерфейса IPSec с адреса (Src: 192.168.32.1, Dst: 10.33.33.205)
Его нужно как-то занатить чтобы пакет был вида (Src: 10.1.1.252, Dst: 10.33.33.205)
И отправить обратно в интерфейс IPSec чтобы он пошёл в головной офис "B".Если добавить в Outbound NAT правило:
Interface: IPSec
Source: 192.168.32.0/24
Port: *
Destination: 10.33.33.0/24
Port: *
NAT Address: 10.1.1.252 (виртуальный IP адрес)То ничего не происходит. Правило не срабатывает.
Так же пытался настроить параметр NAT/BINAT в IPSec (Mobile Clients) > Phase 2:
Выставлял такие значения:
Network 10.1.1.0/24
Address 10.1.1.252
LAN subnet (эта настройка вообще не применяется, сбрасывается)Можно как-то реализовать эту задачу в pfsense?
-
Доброе.
Рисуйте схему с адресацией. Так лучше для понимания нам всем.И покажите полный скрин правил fw и NAT.
-
Для проверки работы NAT посмотрите при поднятых всех соединениях какие интерфейсы у вас существуют в системе.
Вполне возможно именно это интерфейс Site-to-Site не отображается в выборе OutboundNAT -
Для проверки работы NAT посмотрите при поднятых всех соединениях какие интерфейсы у вас существуют в системе.
Вполне возможно именно это интерфейс Site-to-Site не отображается в выборе OutboundNATОтвечал в другой ветке, повторюсь:
IPSec не виден в Interfaces - Assign, как и не видны в Routes маршруты Ipsec. -
Доброе.
С OpenVPN подобное получалось. Даже без создания явного интрф. OpenVPN.
Т.е. можно настроить каким лок. ip в др сети светить - своим (NoNAT) или пф-а (openvpn).P.s. А может для ipsec нужно создать доп. phase 2 , где в src будет ваша домашн. лок. сеть ? А уж после настроить еще и правило NAT.
P.p.s. Если версия pf 2.2.х, то можно исп. pptp из дома и получать ip из сети 10.1.1.0/24
-
Доброе.
С OpenVPN подобное получалось. Даже без создания явного интрф. OpenVPN.
Т.е. можно настроить каким лок. ip в др сети светить - своим (NoNAT) или пф-а (openvpn).P.s. А может для ipsec нужно создать доп. phase 2 , где в src будет ваша домашн. лок. сеть ? А уж после настроить еще и правило NAT.
P.p.s. Если версия pf 2.2.х, то можно исп. pptp из дома и получать ip из сети 10.1.1.0/24
Заинтересован в ответе, трюк с 2-мя фазами мне лично в свое время не помог.