Доступ в другую подсеть через OpenVPN.
-
PfSense - шлюз по умолчанию для локальной этой сети?
еще семь удаленных подсетей которые я из своей локальной сети вижу
Как PC, с которого вы видите эти сети получает маршруты в эти сети? -
PfSense - шлюз по умолчанию для локальной этой сети?
еще семь удаленных подсетей которые я из своей локальной сети вижу
Как PC, с которого вы видите эти сети получает маршруты в эти сети?совсем забыл написать про MikroTik, вот схема.
на другом конце (т.е в другой подсети стоит такой же КШ как у меня), судя по всему PC с которого я вижу эти подсети получает маршруты по средствам КШ, куда я зайти кстати не могу.
-
Доброе.
Зачем КШ и МТ в вашей схеме ? -
судя по всему PC с которого я вижу эти подсети получает маршруты по средствам КШ, куда я зайти кстати не могу.
Ваш PC может получить эти маршруты:
1. Если они вручную заданы через route add… или DHCP (маловероятно)
Будут видны, если в консоли Windows набрать
route print -4
в *nix
netstat -rn
2. Эти маршруты "знает" default gw сети (Микротик?)
В Микротик смотреть маршруты так:
/ip route printТ.О вопрос - где прописаны эти маршруты?
Зачем КШ и МТ в вашей схеме ?
Думаю - КШ - по указанию свыше.IMHO, либо pfSense либо Микротик в схеме - лишнее звено. Предположу, что pfSense используется только ради сквида и т.д.
-
судя по всему PC с которого я вижу эти подсети получает маршруты по средствам КШ, куда я зайти кстати не могу.
Ваш PC может получить эти маршруты:
1. Если они вручную заданы через route add… или DHCP (маловероятно)
Будут видны, если в консоли Windows набрать
route print -4
в *nix
netstat -rn
2. Эти маршруты "знает" default gw сети (Микротик?)
В Микротик смотреть маршруты так:
/ip route printТ.О вопрос - где прописаны эти маршруты?
Зачем КШ и МТ в вашей схеме ?
Думаю - КШ - по указанию свыше.IMHO, либо pfSense либо Микротик в схеме - лишнее звено. Предположу, что pfSense используется только ради сквида и т.д.
1. вручную через route add… ничего не прописывал.
2. в ручную на PC прописан шлюз на сетевом интерфейсе (IP MT).
3. на сервере DHCP указан Маршрутизатор IP pf, но в сетевых адаптерах PC в локальной сети от DHCP PC получают IP от MT. (вероятнее всего то что на MT настроены bridge pf и MT, настраивал не я)
4. маршруты MT на скиншоте, как и выше на схеме указывал.
5. КШ используется совершенно верно по указанию свыше.
6. pf используется ради squid и openvpn (pf не убираю пока так как не знаю как блокировать контент в MT, так как сейчас на pf блокирует squid и squidguard).
7. нужно наверное исключить что то одно из схемы, настроить прокси-сервер на MT, вот только с блокировкой контента пользователям заморочка, так как с этим железом не сталкивался еще, читал вроде что на MT блокируется все правилами, просто привык в pf блокировать squid и blacklist в squidguard.
192.168.50.1 - КШ
192.168.50.6 - pf
192.168.50.40 - MT
-
Доброе.
Упрощайте схему (исключайте все, что возможно и поговорите с нач-вом). Иначе проблем не оберетесь. -
Доброе.
Упрощайте схему (исключайте все, что возможно и поговорите с нач-вом). Иначе проблем не оберетесь.что вы подразумеваете под проблемами??? КШ я в любом случае убрать не смогу тут без разговоров, если только pf убрать подумываю и настроить все на MT.
-
На МТ есть аналог сквида, есть даже работающий L7, но грузить МТ это будет ощутимо.
Гляжу на вашу непростую для понимания схему ;) Что мешает добавить в pf еще одну сетевую, воткнуть туда КШ и рулить маршрутами на pf?
Получите единый для сети gw без чудес ассиметричной маршрутизации. -
IMHO, либо pfSense либо Микротик в схеме - лишнее звено. Предположу, что pfSense используется только ради сквида и т.д.
Микротик в таких схемах бывает не лишний - иногда при грамотном использовании позволяет избавиться от ассиметричной маршрутизации. Да и грузить pf и так чистым трафиком в другую сеть тоже лишнее.
Получите единый для сети gw без чудес ассиметричной маршрутизации.
Скорее всего это не ассиметричная маршрутизация, а незнание КШ и/или Mikrotik о подсетях VPN на pfSense.
Поробуйте включить исходящий NAT для VPN клиентов, если у вас pfSense с локальных интерфейсов общается к КШ без проблем.
И NAT'ть в сторону подсетей за КШ скорее всего будет наиболее грамотным решением, поскольку даже если вы настроите локально правильно маршрутизацию pfSense-Mikrotik-КШ, то удаленные стороны могут ничего не знать о VPN сетях pfSense. -
IMHO, либо pfSense либо Микротик в схеме - лишнее звено. Предположу, что pfSense используется только ради сквида и т.д.
Микротик в таких схемах бывает не лишний - иногда при грамотном использовании позволяет избавиться от ассиметричной маршрутизации. Да и грузить pf и так чистым трафиком в другую сеть тоже лишнее.
Получите единый для сети gw без чудес ассиметричной маршрутизации.
Скорее всего это не ассиметричная маршрутизация, а незнание КШ и/или Mikrotik о подсетях VPN на pfSense.
Поробуйте включить исходящий NAT для VPN клиентов, если у вас pfSense с локальных интерфейсов общается к КШ без проблем.
И NAT'ть в сторону подсетей за КШ скорее всего будет наиболее грамотным решением, поскольку даже если вы настроите локально правильно маршрутизацию pfSense-Mikrotik-КШ, то удаленные стороны могут ничего не знать о VPN сетях pfSense.включить исходящий NAT на чем pf или MT?
