Почему не работает Port forward в чужую подсеть?



  • Есть несколько сетей, объединенных двумя pfsense (см. приложение).

    Исходящий NAT:
    Для сетей .10-.30 выход в интернет (NAT) через 1.1.1.1
    Для сетей .40-.60 выход в интернет через 2.2.2.2

    Маршруты:
    backbone - l2 vpn.
    Все подсети доступны друг другу

    Входящий NAT:
    Зеленый port forward работает.
    Синий port forward тоже работает.
    Красный - не работает.

    Догадываюсь, что дело в адресе пакета, который уходит в никуда через чужой gw, но не уверен.

    Подскажите пожалуйста в чем дело и можно ли это обойти?




  • Ответ уходит через default gateway pfSense 192.168.18.2. Нужно на каждом pfSense завести gateway с IP соседа и в настройках backbone интерфейса каждого pfSense указать его в поле Gateway.



  • Просто оставлю здесь https://forum.pfsense.org/index.php/topic,40376.msg208841.html#msg208841
    Ну или делать связь между pfSense'ами как дополнительные multi-WAN соединения с соответствующей настройкой.



  • 1. Исп. traceroute с обоих концов. Смотрите на каком этапе теряются пакеты. И маршруты друг к другу должны быть с обоих концов.
    2. Покажите правила fw на LAN, VPN. На каждом LAN вверху должны быть правила пропуска трафика друг другу.
    3. Смотрите логи fw на обоих концах.
    4. Можно послушать трафик , вкл. dump пакетов.



  • Rubic, объясните пожалуйста, почему это должно работать? Не могу понять.

    На левом пфсенсе сделан шлюз с адресом правого (бэкбон). Статические маршруты направо работают через него. На правом пфсенсе симметрично. Но в настройках интерфейса backbone этот шлюз не выбран.

    PbIXTOP, начал разбираться с мультиван-кейсов, но не нашел нечего, что подходило бы.

    werter, не очень понимаю про трейс. Откуда? Снаружи? Он же должен закончиться пфсенсом, не? А изнутри все работает хорошо. Правила - полный зеленый свет на всех интерфейсах. Дамп надо попробовать, вы спасибо за идею.



  • Шлюз в настройках интерфеса - это не для маршрутизации, это для того чтобы ответы летели через тот же интерфейс, через который запросы пришли.



  • В пакете сохраняется адрес маршрутизатора? Не звал, спасибо. Попробую сегодня.


Log in to reply