Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Routed IPSEV за NAT

    Scheduled Pinned Locked Moved Russian
    26 Posts 4 Posters 2.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Konstanti @Maxim 0
      last edited by Konstanti

      @maxim-0

      Здр
      что значит "не маршрутизируется" в Вашем случае ?
      Напомню , что классический IPSEC туннель изначально немаршрутизируемый тип соединения ( те передается только трафик , указанный в настройках фазы-2)

      Нужна маршрутизация - GRE over IPSEC, VTI и тд и тп

      M 1 Reply Last reply Reply Quote 0
      • M
        Maxim 0 @Konstanti
        last edited by

        @konstanti
        Обычный IPSEC был построен для теста вобще работы через NAT
        Я понимаю, что нужно VTI. К сожалению, при настройке по документации - не получается его настроить. + накладывается то, что у PFsense только 1 интерфейс.

        K 1 Reply Last reply Reply Quote 0
        • K
          Konstanti @Maxim 0
          last edited by Konstanti

          @maxim-0
          Если несложно, задачу обрисуйтес адресацией . Потом уже станет понятно , какой тип соединения Вам подходит. Из картинки пока только понятно , что оба конца туннеля находится за NAT-ом.

          M 1 Reply Last reply Reply Quote 0
          • werterW
            werter @Maxim 0
            last edited by

            Добрый.
            @maxim-0
            Покажите скрины настроек IPSEC (фаза 2), firewall, nat.

            M 1 Reply Last reply Reply Quote 0
            • M
              Maxim 0 @Konstanti
              last edited by

              @konstanti IPSEC (1).jpg
              Надеюсь так будет понятнее. Спасибо

              1 Reply Last reply Reply Quote 0
              • M
                Maxim 0 @werter
                last edited by

                @werter IPSEC-Phase 2.jpg
                Добрый день

                IP адресация приведена для примера.
                Настроики FW и НАТ не могу предоставить.

                K 1 Reply Last reply Reply Quote 0
                • K
                  Konstanti @Maxim 0
                  last edited by Konstanti

                  @maxim-0

                  Понятно
                  пока до конца не понял - странные у вас настройки фазы-2 ( видно не совсем Вам ясно , как работает IPSEC )

                  должно быть не так, по-моему.
                  для примера обмен трафиком между 2-мя хостами - не сетями (сторона 88.88.88.88 )

                  Local network ( Address) - 192.168.48.13
                  Remote network (Address ) - 192.168.1.10

                  Nat/Binat - пусто

                  противоположная сторона - зеркальное отражение

                  M 1 Reply Last reply Reply Quote 0
                  • M
                    Maxim 0 @Konstanti
                    last edited by

                    @konstanti
                    Спасибо за ответ. Пользовался статьей
                    https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/configure.html

                    Попробую тот вариант, что Вы предложили. Хотя уже менял настройки как угодно )

                    K 1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @Maxim 0
                      last edited by Konstanti

                      @maxim-0 said in Routed IPSEV за NAT:

                      https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/configure.html

                      так Вы же так и не написали , какая задача перед Вами стоит
                      если нужен обмен трафиком, например ,между
                      192.168.48.13 и 192.168.1.10 - то нужны мои настройки в фазе-2

                      если что-то другое , то расскажите

                      по Вашей ссылке

                      Local Network
                      Tunnel Mode
                      Defines which subnet or host can be accessed from the other side of the VPN tunnel. This is typically the LAN or other internal subnet for the VPN, but can also be a single IP address if only one client needs to use the tunnel. The Type selector is pre-loaded with choices for each interface (e.g. LAN subnet ), as well as Address and Network choices that allow entering an IP address or subnet manually.

                      Most often this is set to LAN subnet, meaning the entire LAN will be accessible from the remote network.

                      Remote Network
                      Tunnel Mode
                      (Non-mobile only) Specifies the IP Address or Network which exists on the other (remote) side of the VPN. This field operates similarly to the Local Network option.

                      M 1 Reply Last reply Reply Quote 0
                      • M
                        Maxim 0 @Konstanti
                        last edited by

                        @konstanti
                        Извините, если не до конца что-то описал.

                        В общем еще раз. Есть 2 офиса. В разных городах. Надо их объединить через ipsec (сети), чтобы клиетские ПК в обоих сетях "видели" друг-друга. В каждом офисе стоит свой firewall+nat, за ним маршрутизатор, и потом pfsense, к которому подключен коммутатор и уже потом клиентские пк (сеть настраивал не я, и описываю ее от "имени сетевиков"). Поэтому могу что-то не знать, к сожалению.

                        K P 2 Replies Last reply Reply Quote 0
                        • K
                          Konstanti @Maxim 0
                          last edited by

                          @maxim-0
                          какая адресация сетей , которые должны видеть друг друга ?

                          M 1 Reply Last reply Reply Quote 0
                          • M
                            Maxim 0 @Konstanti
                            last edited by

                            @konstanti
                            Если из примера, то
                            192.168.48.0.24
                            192.168.1.0/24

                            Но при этом ipsec должен мочь Routed. Т.е. VTI

                            K 1 Reply Last reply Reply Quote 0
                            • K
                              Konstanti @Maxim 0
                              last edited by

                              @maxim-0
                              Зачем Вам маршрутизируемый туннель ? Чем плох обычный IPSEC в Вашем случае ?

                              M 1 Reply Last reply Reply Quote 0
                              • M
                                Maxim 0 @Konstanti
                                last edited by

                                @konstanti

                                Руководство поставило такую задачу.
                                Хотят сделать этот канал связи как резервный для существующего, Если 1 провайдер отвалится, чтобы 2-й принял трафик на себя

                                K 1 Reply Last reply Reply Quote 0
                                • P
                                  pigbrother @Maxim 0
                                  last edited by

                                  @maxim-0 said in Routed IPSEV за NAT:

                                  В каждом офисе стоит свой firewall+nat, за ним маршрутизатор, и потом pfsense

                                  А что является для сетей этих офисов шлюзом по умолчанию?

                                  M 1 Reply Last reply Reply Quote 0
                                  • M
                                    Maxim 0 @pigbrother
                                    last edited by

                                    @pigbrother
                                    Маршрутизатор, который находится между ПФсенс и Фаервол+НАТ

                                    werterW 2 Replies Last reply Reply Quote 0
                                    • werterW
                                      werter @Maxim 0
                                      last edited by werter

                                      @maxim-0

                                      В каждом офисе стоит свой firewall+nat, за ним маршрутизатор, и потом pfsense

                                      Зачем ПЕРЕД пф еще один маршрутизатор? Это лишнее звено и головная боль.
                                      Рекомендую его убрать.

                                      Зы. Или ПЕРЕД еще пф ДВЕ железки?

                                      P 1 Reply Last reply Reply Quote 0
                                      • P
                                        pigbrother @werter
                                        last edited by

                                        @werter said in Routed IPSEV за NAT:

                                        ПЕРЕД еще пф ДВЕ железки?

                                        Похоже на то. Если так - ТС получит все прелести асимметричной маршрутизации.

                                        1 Reply Last reply Reply Quote 0
                                        • werterW
                                          werter @Maxim 0
                                          last edited by

                                          @maxim-0
                                          Зачем ПЕРЕД пф еще ДВЕ железки?

                                          K 1 Reply Last reply Reply Quote 0
                                          • K
                                            Konstanti @werter
                                            last edited by

                                            @werter
                                            у меня есть подозрение , что мы видим кусок пазла ))
                                            судя по текстам , есть еще один выход в инет

                                            werterW 1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.