Routed IPSEV за NAT

Maxim 0

@konstanti
Извините, если не до конца что-то описал.

В общем еще раз. Есть 2 офиса. В разных городах. Надо их объединить через ipsec (сети), чтобы клиетские ПК в обоих сетях "видели" друг-друга. В каждом офисе стоит свой firewall+nat, за ним маршрутизатор, и потом pfsense, к которому подключен коммутатор и уже потом клиентские пк (сеть настраивал не я, и описываю ее от "имени сетевиков"). Поэтому могу что-то не знать, к сожалению.

Konstanti

@maxim-0
какая адресация сетей , которые должны видеть друг друга ?

Maxim 0

@konstanti
Если из примера, то
192.168.48.0.24
192.168.1.0/24

Но при этом ipsec должен мочь Routed. Т.е. VTI

Konstanti

@maxim-0
Зачем Вам маршрутизируемый туннель ? Чем плох обычный IPSEC в Вашем случае ?

Maxim 0

@konstanti

Руководство поставило такую задачу.
Хотят сделать этот канал связи как резервный для существующего, Если 1 провайдер отвалится, чтобы 2-й принял трафик на себя

pigbrother

@maxim-0 said in Routed IPSEV за NAT:

В каждом офисе стоит свой firewall+nat, за ним маршрутизатор, и потом pfsense

А что является для сетей этих офисов шлюзом по умолчанию?

Maxim 0

@pigbrother
Маршрутизатор, который находится между ПФсенс и Фаервол+НАТ

werter

@maxim-0

В каждом офисе стоит свой firewall+nat, за ним маршрутизатор, и потом pfsense

Зачем ПЕРЕД пф еще один маршрутизатор? Это лишнее звено и головная боль.
Рекомендую его убрать.

Зы. Или ПЕРЕД еще пф ДВЕ железки?

pigbrother

@werter said in Routed IPSEV за NAT:

ПЕРЕД еще пф ДВЕ железки?

Похоже на то. Если так - ТС получит все прелести асимметричной маршрутизации.

werter

@maxim-0
Зачем ПЕРЕД пф еще ДВЕ железки?

Konstanti

@werter
у меня есть подозрение , что мы видим кусок пазла ))
судя по текстам , есть еще один выход в инет

werter

@konstanti
Если схема ТС вверху верна, то у пф вообще ОДИН интерфейс.
Ну и каша (

pigbrother

@werter said in Routed IPSEV за NAT:

Если схема ТС вверху верна, то у пф вообще ОДИН интерфейс.

Так ТС этого и не скрывает

@maxim-0 said in Routed IPSEV за NAT:

и сервер с PFsense с одним WAN интерфейсом, имеющим локальный адрес

werter

@pigbrother
Вопрос к ТСу ЗАЧЕМ такой огород?

Konstanti

@maxim-0

Вот Вам наглядная инструкция для настройки VTI

https://www.youtube.com/watch?v=AKMZ9rNQx7Y

Maxim 0

@werter
Сетку строил не я. Ей уже много лет. Поэтому не могу убирать железки.
Схему, которую нарисовал - это со слов сетевика. Графическую схему жду от него уже давно. Это лирика.

IPSEC на ПФ настраивал всегда без проблем, если ПФ стоят наружу.

Тут да. Тут каша и на ПФ 1 интерфейс. Но благо это виртуалка и можно всунуть еще.
Попробую от сетевика получить подробную схему этот зоопарка.

Огромное спасибо за поддержку