[решено]Не работает маршрут из локальной с

garald50

@werter:

Покажите скрины настроек интерфейса NKC.

Рисунок if_NKC

Маршрут руками явно задавать не нужно - вы ж интерфейс явно создали.

Если убрать маршрут, доступ к узлу 10.202.1.1 пропадает даже с pfsense.

У интерфейса есть адрес, маска подсети и шлюз. Этого достаточно. Если настроено верно, конечно.

В схеме сети (рисунок Схема_сети), ее прототип "спустили сверху" (рисунок Прототип схемы сети), шлюза у интерфейса не предусмотрено. Но у меня есть аналогично настроенные интерфейсы без шлюза, куда доступ из лвс есть.

На интерфейсе NKC поставьте временно всё-всем по всем протоколам разрешено.

Поставил. (рисунок Rules_NKC). Результата нет.




werter

Добрый.

Если убрать маршрут, доступ к узлу 10.202.1.1 пропадает даже с pfsense.

Мил человек, а его и не будет.

Зы. Cудя по скринам у интерфейса NKC адрес должен быть из сети 10.202.х.х и маска /16

Внимательнее. Исправляйте. Не нужны в вашем случае маршруты - все рулится правильными настройками интерфейсов. И правильными правилами fw.

P.s. Пользую сам и настоятельно рекомендую. В закладки https://linkmeup.ru/sdsm

garald50

Не понятно, из чего вытекает, что маска должна быть /16.

Исправляйте

Но исправил, доступа к 10.202.1.1 нет

werter

В схеме сети (рисунок Схема_сети), ее прототип "спустили сверху" (рисунок Прототип схемы сети), шлюза у интерфейса не предусмотрено

Снова неверно. На вашем же скрине gw имеется. Вот его и укажите в настройках NKC в кач-ве gw. Маску оставьте /16.

Если и с остальными интерфейсами похожая история - исправляйте. Не нужно рисовать маршруты руками, если того явно не требует ситуация.


garald50

@werter:

Снова неверно. На вашем же скрине gw имеется. Вот его и укажите в настройках NKC в кач-ве gw. Маску оставьте /16.

В настройках if нет шлюза, в маршрутах - есть, согласно спущенной схеме.
Сделал по вашей рекомендации - добавил шлюз в настройки if. Все равно 10,202,1,1 не доступен

werter

Сделал по вашей рекомендации - добавил шлюз в настройки if.

А маршруты удалили?

Сделать бэкап конфига.
Маршруты удалить. Сделать Reset states (связь пропадет на нек-ое время)
Показать общий скрин Интерфейсы +  Таблицу марш-ции на пф.

garald50

Может я что-то недопаказал или схема сети не отражает всю картину, но подсеть 10.202.8.0/24, в которой находятся интерфейсы pfsense и HW-1000, не принадлежит подсети 10.202.0.0/16, в которую маршрутизируется трафик из LAN. Вы все равно настаиваете, что можно обойтись без стат.маршрутов?

werter

Хм. Как все запутано-то.

Все же на данный момент показать общий скрин Интерфейсы +  Таблицу марш-ции на пф.

P.s. Однако, выделенный маршрут все равно перекрывает дипапазон и весь трафик касаемо 10.202.x.x уходит в него. Решите этот вопрос.


garald50

показать общий скрин Интерфейсы +  Таблицу марш-ции на пф.

Interfaces\Interface Assignments и System\Routing\Static Routes ?

Однако, выделенный маршрут все равно перекрывает дипапазон и весь трафик касаемо 10.202.x.x уходит в него.

здесь согласен, скорее все_го_ проблема в этом. однако непонятно почему с  самого пфсенсе трафик уходил куда-надо

garald50

Решено.
Забыл прописать Mappings в Firewall\NAT\Outbound. У меня стоит "Manual Outbound NAT rule generation".
werter, в любом случае спасибо вам