Проблемы со связью и множественные TCP:FPA PA RA
-
Обратился в инглиш ветку со своей проблемой. Там меня уверили, что у меня явная проблема с асимметричными маршрутами. Я вынес интернет-щлюз в отдельную сеть, но что-то не помогло
https://forum.pfsense.org/index.php?topic=147433.0Сеть 192.168.0.0\16 в правилах fw у вас - уж очень лихо. Создайте алиас из лок. сетей ipsec-клиентов и рулите им.
Задолбаюсь я туда 40 сетей рисовать, а их будет еще больше. Так проще.
-
Добрый.
2 arukashiУберите центральный зюхель. Пф будет рулить всем.
Верните правила NAT на автомат.
Profit.Зы. А чего Proxmox-то 4-ый ? Он уж год как не развивается разрабами. 5-ка стабильно хороша.
-
Добрый.
2 arukashiУберите центральный зюхель. Пф будет рулить всем.
Верните правила NAT на автомат.
Profit.Часть NAT правил убрал, но в провайдерскую сеть NAT необходим. Там нужные сервисы крутятся
А зухель нужен, его пока из схемы не выкинуть
@werter:Зы. А чего Proxmox-то 4-ый ? Он уж год как не развивается разрабами. 5-ка стабильно хороша.
Да как-то времени обновить не могу найти. Все-таки центральный шлюз, просто так не выключишь.
Новый релиз 5ки жду, полгода уже прошло, никак не выйдет -
Новый релиз 5ки жду, полгода уже прошло, никак не выйдет
Вы оф. сайт посещали давно? Там 5.1 висит. Куда уж новее. Или вы 6-ку ждете на 10-м Debian ;D ?
Часть NAT правил убрал, но в провайдерскую сеть NAT необходим. Там нужные сервисы крутятся
А зухель нужен, его пока из схемы не выкинутьТогда увы. Тратьте свое время дальше.
P.s. Ваш "друг" по несчастью https://forum.pfsense.org/index.php?topic=147725.0 Может вы его уговорите убрать зюхель из схемы.
-
Вы оф. сайт посещали давно? Там 5.1 висит. Куда уж новее. Или вы 6-ку ждете на 10-м Debian ;D ?
Обычно обновления чаще выходят
Тогда увы. Тратьте свое время дальше.
Почитайте топик в инглиш ветке, я проделал некоторые изменения. Сейчас зиксель вышестоящий маршрутизатор дающий выход в интернет, и с локальной сетью ныне не пересекается. Ассиметричный маршрутов не может быть. Какие еще предположения?
-
Добрый.
Ассиметричный маршрутов не может быть. Какие еще предположения?
Кривые правила nat, fw.
Во floating rules правила есть ?
Обычно обновления чаще выходят
Обновления компонентов выходят каждый день. А то и несколько раз на дню. Если добавить стандартные репы в sources.list (что и сделано у меня).
Уберите центральный зюхель. Пф будет рулить всем.
Верните правила NAT на автомат.
Profit.Все равно к этому прийдете.
-
Кривые правила nat, fw.
Во floating rules правила есть ?
https://forum.pfsense.org/index.php?topic=147433.msg801708#msg801708
Правила NAT на ipsec убрал, там дальше есть скриншот. Во floating одно правило, которое спасает положение - ipv4* * * * * * statetype noneВсе равно к этому прийдете.
Может быть, но не сейчас. Как только решу первоначальную проблему, тогда смогу убрать зиксель
-
Добрый.
Может быть, но не сейчас. Как только решу первоначальную проблему, тогда смогу убрать зиксель
Не решите. Проблема в ассиметрии маршрутов. И в неправильной настройке NAT. Замкнутый круг.
Правила NAT на ipsec убрал, там дальше есть скриншот.
Automatic. Полностью. Или, как вариант, Hybrid.
Забыл, галка на Disable firewall on same interface стоит ? Поставьте.
Зы. Уберите пф из схемы. Оставьте только зюхель. Или он не тянет столько ипсек-туннелей, да? Печаль :'(
-
Не решите. Проблема в ассиметрии маршрутов. И в неправильной настройке NAT. Замкнутый круг.
В упор не вижу. Где именно ассиметрия? Вы смотрели схему из инглиш топика?
Automatic. Полностью. Или, как вариант, Hybrid.
Забыл, галка на Disable firewall on same interface стоит ? Поставьте.
Ставил, не помогло.
Зы. Уберите пф из схемы. Оставьте только зюхель. Или он не тянет столько ипсек-туннелей, да? Печаль :'(
Возможно и потянет, но со скрипом. такого не можем себе позволить…
-
у меня такой траффик генерируют телефоны на андроиде. Природа данного явления мне непонятна, но это никак не отражается на конечных пользователях или сервисах.
