Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Как разрешить трафик трафик между несколькими тоннелями IPSec?

    Scheduled Pinned Locked Moved Russian
    55 Posts 3 Posters 6.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dimm56
      last edited by

      Есть 22 IpSec тоннеля (10.0.1.1-10.0.50.0, к примеру, т.к. порядок нумерации не соблюдается) и 3 мобильных клиента. Мобильные клиенты висят на своем мобильном тоннеле 10.0.200.0
      Вопрос: Как сделать так, что бы мобильные клиенты 10.0.200.0 смогли попадать в тоннели 10.0.1.1-10.0.50.1?

      K 1 Reply Last reply Reply Quote 0
      • K
        Konstanti @dimm56
        last edited by

        @dimm56
        1 создать дополнительную фазу 2
        2 использовать бинат в фазе 2 ( по ссылке откуда пытались поправить vpn.inc есть ссылка как это сделать )

        1 Reply Last reply Reply Quote 0
        • D
          dimm56
          last edited by

          И снова здравствуйте)))) Спасибо, что вы тут)))
          По порядку, вторая запись Ф2:
          Локальная сеть - мой мобильный Ipsec тоннель 10.0.200.0
          Трансляция NAT/BINAT - моя локальная сеть 192.168.6.0
          Удаленная Сеть - сеть тоннеля в котором создаем Ф2, например 10.0.1.0

          Правильно?

          K 1 Reply Last reply Reply Quote 0
          • K
            Konstanti @dimm56
            last edited by Konstanti

            @dimm56
            Это два разных решения
            1 решение
            добавляем фазу 2 с обеих сторон туннеля (сеть openvpn-сеть за модемом)
            2 решение
            используем бинат для openvpn сетей с одной стороны туннеля ( сторона PF, модемы не трогаем)

            1 Reply Last reply Reply Quote 0
            • D
              dimm56
              last edited by

              OpenVPN нет.... Все висят на IPSec тоннелях...

              K 1 Reply Last reply Reply Quote 0
              • K
                Konstanti @dimm56
                last edited by

                @dimm56 Разницы нет тут ipsec или openvpn
                1 путь 2 фазы2 между точками
                2 путь 2фазы2 со стороны pf и 1 фаза2 со стороны модема ( по ссылке все есть)

                1 Reply Last reply Reply Quote 0
                • D
                  dimm56
                  last edited by

                  Понял, принял. Буду пробовать.

                  1 Reply Last reply Reply Quote 0
                  • D
                    dimm56
                    last edited by dimm56

                    На примере тоннеля 10.0.43.0:
                    Фаза 2 запись 1 (в локальную сеть)
                    AAA1.png
                    Работает

                    Фаза 2 запись 2 (в тоннель 10.0.200.0 через локалку 192.168.6.0)
                    AAA2.png
                    Не работает...

                    Что я сделал не так?

                    K 1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @dimm56
                      last edited by Konstanti

                      @dimm56
                      Покажите фазу 2 мобильных клиентов (10.0.200.0 , которые)
                      и правила на ipsec интерфейсе

                      1 Reply Last reply Reply Quote 0
                      • D
                        dimm56
                        last edited by

                        оппрпрп.png

                        K 1 Reply Last reply Reply Quote 0
                        • K
                          Konstanti @dimm56
                          last edited by Konstanti

                          @dimm56
                          У Вас мобильные клиенты имеют доступ только к сети 192.168.6.0/24 и больше не к чему. Про сеть 10.0.43.0/24 они ничего не знают

                          1 Reply Last reply Reply Quote 0
                          • D
                            dimm56
                            last edited by dimm56

                            Хорошо. Что и куда надо прописать? Или вместо Lan subnet сделать Сеть 0.0.0.0?

                            K 1 Reply Last reply Reply Quote 0
                            • K
                              Konstanti @dimm56
                              last edited by Konstanti

                              @dimm56
                              8a8f50a0-13b8-435f-a268-0a0bbe87744e-image.png

                              все зависит от ваших хотелок и потребностей

                              1 Reply Last reply Reply Quote 0
                              • D
                                dimm56
                                last edited by

                                Хотела одна - трафик между тоннелями)))

                                K 1 Reply Last reply Reply Quote 0
                                • K
                                  Konstanti @dimm56
                                  last edited by

                                  @dimm56
                                  Суть не в этом , а в том , что Вы получите на выходе
                                  Если укажите Local Network - Lan subnet (то доступ будет только к 192.168.X.X)
                                  Укажите 0.0.0.0/0 - то ВЕСЬ трафик мобильного клиента пойдет через туннель.

                                  1 Reply Last reply Reply Quote 0
                                  • D
                                    dimm56
                                    last edited by

                                    Постоянно в тоннели 10.0.200.0 клиенты весеть не будут. Подключение - по необходимости. Зашли, посмотрели, вышли. ВЕСЬ трафик в процессе работы тоннеля - трафик видеонаблюдения.

                                    K 1 Reply Last reply Reply Quote 0
                                    • K
                                      Konstanti @dimm56
                                      last edited by

                                      @dimm56
                                      Тогда и настраиваете туннель так , как нужно для работы
                                      попробуйте для начала указать 0.0.0.0/0 и посмотрите , что будет
                                      Весь трафик пойдет в туннель только на время подключения

                                      1 Reply Last reply Reply Quote 0
                                      • D
                                        dimm56
                                        last edited by

                                        Попробовал. Не пошло. Никуда на подключаемся... Ни Лан 192.168.6.0 ни ipsec 10.0.0.0....

                                        K 1 Reply Last reply Reply Quote 0
                                        • K
                                          Konstanti @dimm56
                                          last edited by

                                          @dimm56 Такие тексты надо сопровождать картинками настроек фазы 2 мобильного клиента . Покажите , как настраиваете

                                          1 Reply Last reply Reply Quote 0
                                          • D
                                            dimm56
                                            last edited by dimm56

                                            Всем привет. извиняюсь за отсутствие, производственная необходимость...

                                            по порядку
                                            Настройка мобильных клиентов
                                            Мобильные клиенты.png
                                            Фаза 1 Мобильных клиентов:
                                            Фаза 1 мобильные.png
                                            Фаза 2 Мобильных клиентов:
                                            Фаза 2 моильные.png
                                            Т.е. при подключении получают адрес из сети 10,0,200,0 и смотрят в сети 0,0,0,0
                                            На примере одного тоннеля, он имеет 2 записи фазы 2:
                                            Тоннель 2 фазы.png
                                            Первая ведет в локальную сеть 192.168.6.0
                                            Тоннель Ф2 1 запись.png
                                            Вторая в тоннель мобильных клиентов 10.0.200.0 через локальную сеть 192.168.6.0
                                            Тоннель Ф2 2 запись.png
                                            Притакой конфигурации из тоннеля 10.0.200.0 не видно ничего, но если поменять сеть 0.0.0.0 на локальную 192.168.6.0, то тогда есть доступ к ресурсам локальной сети.

                                            K 1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.