Проблемы маршрутизацией.
-
Доброго времени суток.
Задумал сменить прокси сервер на Pfsence, до этого был Ubuntu Server, столкнулся с проблемой.
Сразу начну со схемы и уточню что с Ubuntu все работает.
Проблемы с доступом из сети 10.71.0.0/16 к локальным ресурсам 192.168.10.0/23.
Пинги проходят в обе стороны, к сети 10.71.0.0 можно подключится по RDP и тд, но не в обратную сторону.
На Pfsence добавлен шлюз 192.168.10.8 и статистический маршрут 10.71.0.0/16 с этим шлюзом.
В правилах для LAN все разрешено. -
@kostm
Здр
Возможно , что проблема у Вас с настройками правил на WAN интерфейсе
Как вариант - включена вот такая опция ( хотя Вы пишите , что пинги ходят в обе стороны )
Если это так , то
в настройках /Interfaces/WAN
надо отключить эту функциюЕсли дело не в этом , то покажите правила на WAN интерфейсе
-
@konstanti 192.168.10.8 сидит на LAN интерфейсе, галка такая снята.
WAN отдельно и является шлюзом по умолчанию.
-
Вот такое в журнале. Непонимаю.
-
@kostm
Теперь все понятно (схему "криво" немного нарисовали)
у Вас используется ассиметричная маршрутизацияВот , почитайте это
https://forum.netgate.com/topic/158444/работа-ospf-маршрутов/43
-
Добрый.
@Kostm- Уберите из схемы МТ, к-ый перед пф стоит. Не усложняйте.
- Что за железка в сети 10.х.х.х рулит доступом в инет?
Зы. И переключите вебку пф на инглиш. Это ж лутый капут: лупбэк, богон etc.
-
@werter
Это схема "кривая" , он не перед , а рядом . В одной сети с Lan PF и клиентами . Сеть 192.168.10.0/23 -
@konstanti
Как догадались? -
@werter
По логам , на них все видно . Все 1 в 1 (схема сети) , как в конференции , где была такая же проблема (см ссылку ) . МТ - для организации туннеля -
@konstanti
Т.е. шлюзом на ван у пф не мт? -
@werter
Абсолютно верно . В схеме должен быть коммутатор , а его нет
Тогда бы все стало проще для понимания -
@Kostm
Перерисуйте схему. Жесть какая-то ( -
@werter прошу прощения за схему, нарисована криво согласен, второпях ночью рисовал.
-
@konstanti спасибо, действительно ассиметричная маршрутизация.
Вопрос закрыл так https://docs.netgate.com/pfsense/en/latest/routing/static.html
"Bypass firewall rules for traffic on the same interface" -
@kostm
Как я понял сеть 10.х - это физически сегмент одной и той же сети с 192.х?
Что в сети 10.х отвечает за ВАН?
Вариант добавить на LAN пф virt ip из сети 10.х и тем самым не городить с ассиметрией рассматривался? -
@werter физически 10.х находится в другом части города, сеть 10.х мной не контролируется.