Доступ в локальную сеть Pfsense из сети за модемом Kennetic

dimm56

@werter благодарствую, очень вовремя и по теме... так сказать не останавливаться на достигнутом!

Konstanti

@werter Хороший цикл статей , читал
Вот бы такой мне попался лет 20 назад ))))
Но , увы . Не было такого . Пришлось самому с Cisco разбираться . Книги купил и вперед

werter

@dimm56
Кстати, а ПО на зюхелях самое свежее? Проверяли?

@Konstanti
Да вы уже CCIE должны быть (или кто там самый крутой щас в их иерархии?) За 20 лет-то )

dimm56

Вообщем доеду я на неделе на ближайшую точку удаленную, попробую оттуда что и как, тогда будет пища для размышлений....

werter

@dimm56
Ехать то спецом зачем? Вы на кажный филиал вот так выезжать будете? Дурное занятие.
Я ж про аммиадмин\тимьювер писал выше (
Попросите кого-то там запусить любой из на локальной машине и удаленно гляньте.

dimm56

Таких точек у меня всего 2. И обе в пределах города. Заодно проверю что там и как с точки зрения размещения и работы оборудования, это то же на мне все висит, как на одмине(

werter

@dimm56
Разберитесь с адресацией на месте и переведите всех на dhcp. Кому нужен постоянный ip - привяжите по MAC. И рулить проще и возможности dhcp пользовать можно будет.

pigbrother

@werter said in Доступ в локальную сеть Pfsense из сети за модемом Kennetic:

Таблицу маршрутизации при поднятом ipsec на пф и на модеме покажите.

@Konstanti said in Доступ в локальную сеть Pfsense из сети за модемом Kennetic:

Но в классическом ipsec-туннеле , по-моему, нет маршрутизации , в классическом смысле этого слова

Да, ipsec не создает маршрутов, видимых в таблице маршрутизации. Я совсем не специалист в ipsec , но это так для PF, Микротик и, вероятно, для других ОС.

@Konstanti said in Доступ в локальную сеть Pfsense из сети за модемом Kennetic:

traceroute не работает при ipsec туннеле ( или не будет работать корректно)

Странно, почему бы ему не работать, если пропускается весь трафик? У меня с машин в LAN работает и ping и трассировка в сторону сети за ipsec. При этом ping и трассировка не работают с самого PF .
Вероятно - по этой причине:
https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/accessing-firewall-services-over-ipsec-vpns.html

Due to the way IPsec tunnels are kludged into the FreeBSD kernel, any traffic initiated by m0n0wall to go through an IPsec tunnel gets the wrong source IP (and typically doesn’t go through the tunnel at all as a result). Theoretically this shouldn’t be an issue for the server side of SNMP, but perhaps the server has a bug (well, deficiency, at least) where it doesn’t send the response out through a socket bound to the request packet. You can fake it out by adding a bogus static route to the remote end of the tunnel via the m0n0wall’s LAN IP (assuming that’s within the near-end tunnel range). A good test is to see whether you can ping something at the remote end of the tunnel (e.g. the SNMP remote) from the m0n0wall. There’s an annoying but mostly harmless side-effect to this - every LAN packet to the tunnel elicits a no-change ICMP Redirect.

Тае что @dimm56 не стоит тестировать работу ipsec пингом с PF, а делать это с ПК в LAN.

dimm56

Я поэтому и хочу по точкам проехать. DHCP настроить - да, к такой же мысли пришел. А то что с локалки и конечных точек достовернее соединения проверять то же уже понял (на работе сижу перед компом, а рядом планшет в тоннеле - на нем все и тестирую сразу) Это ещё одна причина съездить, убедиться что все работает и проблем на самом деле никаких нет) просто в перспективе у нас расширение скорее всего будет, я так понял купило наше руководство сеть других магазинов.... И возможно придётся не только видео оттуда транслировать ( спасибо вам всем, что помогли с этим разобраться!!!), но и рабочие сети организовывать (1С в RDP режиме от нас или может от них, пока не ясно). Вот и стараюсь заранее во всем разобраться и заставить работать т.к. потом тупить времени не будет....

werter

@dimm56
1С?
Много и хорошо про 1С на Linux http://renbuar.blogspot.com/