Ipsec, 2 подсети с общим пулом адресов. Возможно?



  • Добрый день! Имеется 2 подсети на разных зданиях: Сеть А - 192.168.1.0. В качестве шлюза используется pfsense (WAN-195.112.116.X; LAN-192.168.1.1).
    Сеть Б - 172.27.0.0. В качестве шлюза используется роутер Zyxel Omni II (WAN-195.112.112.X; LAN-172.27.0.1).
    На pfSense поднят сервер Ipsec. Zyxel подключен к нему. Тоесть сети видят друг друга, пинги ходят, шары открываются.
    В обоих подсетях имеется своя телефонная станция (NS500 и TDE200 на схеме). Собственно задача заключается в следующем: Требуется прозрачное соединение этих станций друг с другом, чтобы они могли пинговать друг друга. Вся сложность в том, что для этого они должны быть в одной подсети (тоесть их пулл должен быть одинаковым), иначе они друг друга не видят и не пингуются.
    Возможно ли с нынешним Ipsec реализовать это? Если нет, то что для этого требуется и как сделать? Спасибо за ваше время!



  • Неужели никто не может помочь с решением данной задачи?



  • Кроме идеи NAT с обеих сторон для адресов станций пока идей нет.
    Ну или перевести обе подсети в одну, не знаю, умеет ли  IPSEC  бриджевать сети, Open VPN - точно умеет.



  • Вам необходимо нормально настроить маршрутизацию и отключить NAT между сетями.



  • @PbIXTOP:

    Вам необходимо нормально настроить маршрутизацию и отключить NAT между сетями.

    А можно поподробнее, пожалуйста?



  • @PbIXTOP:

    Вам необходимо нормально настроить маршрутизацию и отключить NAT между сетями.

    А почему вы думаете, что у ТС есть между сетями НАТ?



  • 2 IStandAlone
    А можно ли NS500 и TDE200 назначить доп. IP из одной подсети ? Есть ли у них такая возможность ?

    P.s. IPsec-туннель может быть как tun , так и tap.



  • P.s. IPsec-туннель может быть как tun , так и tap.

    Недавно в IPsec :)
    Вы имеете в виду режимы transport и tunnel?
    http://howdoesinternetwork.com/2014/ipsec-tunnel-transport-mode
    https://habrahabr.ru/post/170895/

    Имхо, конечно, но все же это не полная аналогия с  tun и tap.

    Вообще странная вещь IPsec  - ни маршрутов в таблице, ни интерфейсов… OVPN как-то понятнее и логичнее, что-ли...



  • @werter:

    2 IStandAlone
    А можно ли NS500 и TDE200 назначить доп. IP из одной подсети ? Есть ли у них такая возможность ?

    P.s. IPsec-туннель может быть как tun , так и tap.

    Имеется некая плата VOip, для которой назначается свой айпи. Только из той же подсети, что и основной айпишник АТСки (скрин лан настройки TDE200). С NS500 похожая ситуация. Можно по имению лицензий создавать виртуальные платы.
    Нам настройку по объединению 2-х АТС  (на самих АТС) делал подрядчик со стороны, сказал только, чтобы АТС были в одной подсети (типо 192.168.2.1; 192.168.2.2), иначе работать не будет. Никаких параметров авторизации, кроме апи, маски, шлюза на них нет. Должна быть прозрачная видимость из одной подсетки. Мод в Ipsec tunnel(скрин).






  • 2 IStandAlone

    Мил человек, так вы эти ip-АТС по iax2 свяжите между собой да правильно inbound\outbound route настройте на них.

    P.s. Сделайте бэкап конфигов этих атс и обновите на них ПО до послед. версий.



  • @werter:

    2 IStandAlone

    Мил человек, так вы эти ip-АТС по iax2 свяжите между собой да правильно inbound\outbound route настройте на них.

    P.s. Сделайте бэкап конфигов этих атс и обновите на них ПО до послед. версий.

    ПО на них свежее. Перед данной задачей обновлялось.



  • Т.е. если в настройках карты в поле IP-адрес для VoIP-DSP  указать адрес 127.27.0.5 оно не работает?
    Не ошиблись ли вы маской 255.255.252.0 ?



  • @pigbrother:

    Т.е. если в настройках карты в поле IP-адрес для VoIP-DSP  указать адрес 127.27.0.5 оно не работает?
    Не ошиблись ли вы маской 255.255.252.0 ?

    Это маска локальной сети, где находится TDE200 - 192.168.1.100/255.255.252.0. Вот для VOip адрес не пробовал менять.  Не понимаю только почему 172.27.0.5? Ведь это ip NS500



  • Судя по описанию должна быть "видимость" TDE200 и NS500. Не так?



  • @pigbrother:

    Судя по описанию должна быть "видимость" TDE200 и NS500. Не так?

    Все верно. Должны друг друга пинговать



  • В нем\них есть встроенный пинг?



  • @pigbrother:

    В нем\них есть встроенный пинг?

    Да. Вот как раз разбираюсь. Интересная штука получается… Из консоли TDE200 пингую шлюз, через который настроен Ipsec. Пинг до шлюза не идет. С компа шлюз пингую, с АТС комп пингуется, но шлюз не хочет. Аналогично и со шлюза - пинг до компа идет, до атс нет.
    NS500 пингует свой шлюз в своей подсети. Пытаюсь пингануть шлюз удаленной подсети, сразу вываливает ошибку в браузере (скрин). Как будто даже пытаться не хочет другую подсеть пинговать.






  • Пинг до шлюза не идет



  • 2 IStandAlone
    Давайте обратимся к теории - http://ip-calculator.ru/#!ip=192.168.1.99/30

    Hostmin 192.168.1.97
    Hostmax 192.168.1.98

    Меняйте маску на /24 в настр. обеих АТС.



  • @werter:

    2 IStandAlone
    Давайте обратимся к теории - http://ip-calculator.ru/#!ip=192.168.1.99/30

    Маску менял с 255.255.252.0 на 255.255.255.0 для TDE200



  • @IStandAlone:

    @werter:

    2 IStandAlone
    Давайте обратимся к теории - http://ip-calculator.ru/#!ip=192.168.1.99/30

    Маску менял с 255.255.252.0 на 255.255.255.0 для TDE200

    Шлюз пингуется ?



  • @werter:

    @IStandAlone:

    @werter:

    2 IStandAlone
    Давайте обратимся к теории - http://ip-calculator.ru/#!ip=192.168.1.99/30

    Маску менял с 255.255.252.0 на 255.255.255.0 для TDE200

    Шлюз пингуется ?

    Нет. Все так же.






  • Заметил одну интересную особенность. Когда пингую с компа АТС (рис.1) - пинг стабильный. Как только запускаю пинг с pfSense до АТС, то с компа пинг пропадает на какое то время (рис.2). Соответственно на pfSense тоже неудачно.






  • Доброе утро. Вчера уходил с работы, так пинги и не ходили. Сегодня утром пришел, чудеса… Пинганул с pfSense АТС - идут. С АТС шдюз-ходят! Чудеса. Вчера, кроме как добавления разрешающее правило для LAN для ip 192.168.1.100 ничего не делал (от безысходности). Но после того, как добавил правило, проверил, пинги так же не ходили. Сегодня бегают. Но до 172.27.0.5 по-прежнему не достучаться. Причем комп удаленной сети и шлюз пингуются (172.27.0.7 и 172.27.0.1) .Есть еще идеи у кого?






  • @IStandAlone:

    Доброе утро. Вчера уходил с работы, так пинги и не ходили. Сегодня утром пришел, чудеса… Пинганул с pfSense АТС - идут. С АТС шдюз-ходят! Чудеса. Вчера, кроме как добавления разрешающее правило для LAN для ip 192.168.1.100 ничего не делал (от безысходности). Но после того, как добавил правило, проверил, пинги так же не ходили. Сегодня бегают. Но до 172.27.0.5 по-прежнему не достучаться. Причем комп удаленной сети и шлюз пингуются (172.27.0.7 и 172.27.0.1) .Есть еще идеи у кого?

    Вы проверьте — нету ли у вас использования одного и того-же IP адреса в сети. "Ходят - не ходят" очень напоминают такую ситуацию.
    И когда проверяете связь параллельно пингу лучше всего запускать tcpdump для понимания - кто виноват.

    @IStandAlone:

    @PbIXTOP:

    Вам необходимо нормально настроить маршрутизацию и отключить NAT между сетями.

    А можно поподробнее, пожалуйста?

    В IPsec во второй фазе подключения можно указать Remote Network.



  • @IStandAlone:

    Доброе утро. Вчера уходил с работы, так пинги и не ходили. Сегодня утром пришел, чудеса… Пинганул с pfSense АТС - идут. С АТС шдюз-ходят! Чудеса. Вчера, кроме как добавления разрешающее правило для LAN для ip 192.168.1.100 ничего не делал (от безысходности). Но после того, как добавил правило, проверил, пинги так же не ходили. Сегодня бегают. Но до 172.27.0.5 по-прежнему не достучаться. Причем комп удаленной сети и шлюз пингуются (172.27.0.7 и 172.27.0.1) .Есть еще идеи у кого?

    Доброе.
    Идеи есть :

    1. Добавить на LAN pf явное разрешающее правило, где в сурс будет LAN net , а в дест - адрес удаленной сети. Поставить это правило выше всех.
    Проверить , не добавляли ли вы руками маршруты в наст. pf. Сделать reset states на pf.

    2.  После изменения сет. настроек (маски) на обеих АТС наконец-то их перезагрузить. И не спрашивайте зачем.

    P.s. Покажите таб. марш. на pf при поднятом ipsec.



  • @PbIXTOP:

    @IStandAlone:

    Доброе утро. Вчера уходил с работы, так пинги и не ходили. Сегодня утром пришел, чудеса… Пинганул с pfSense АТС - идут. С АТС шдюз-ходят! Чудеса. Вчера, кроме как добавления разрешающее правило для LAN для ip 192.168.1.100 ничего не делал (от безысходности). Но после того, как добавил правило, проверил, пинги так же не ходили. Сегодня бегают. Но до 172.27.0.5 по-прежнему не достучаться. Причем комп удаленной сети и шлюз пингуются (172.27.0.7 и 172.27.0.1) .Есть еще идеи у кого?

    Вы проверьте — нету ли у вас использования одного и того-же IP адреса в сети. "Ходят - не ходят" очень напоминают такую ситуацию.
    И когда проверяете связь параллельно пингу лучше всего запускать tcpdump для понимания - кто виноват.

    @IStandAlone:

    @PbIXTOP:

    Вам необходимо нормально настроить маршрутизацию и отключить NAT между сетями.

    А можно поподробнее, пожалуйста?

    В IPsec во второй фазе подключения можно указать Remote Network.

    так и было




  • @werter:

    @IStandAlone:

    Доброе утро. Вчера уходил с работы, так пинги и не ходили. Сегодня утром пришел, чудеса… Пинганул с pfSense АТС - идут. С АТС шдюз-ходят! Чудеса. Вчера, кроме как добавления разрешающее правило для LAN для ip 192.168.1.100 ничего не делал (от безысходности). Но после того, как добавил правило, проверил, пинги так же не ходили. Сегодня бегают. Но до 172.27.0.5 по-прежнему не достучаться. Причем комп удаленной сети и шлюз пингуются (172.27.0.7 и 172.27.0.1) .Есть еще идеи у кого?

    Доброе.
    Идеи есть :

    1. Добавить на LAN pf явное разрешающее правило, где в сурс будет LAN net , а в дест - адрес удаленной сети. Поставить это правило выше всех.
    Проверить , не добавляли ли вы руками маршруты в наст. pf. Сделать reset states на pf.

    2.  После изменения сет. настроек (маски) на обеих АТС наконец-то их перезагрузить. И не спрашивайте зачем.

    P.s. Покажите таб. марш. на pf при поднятом ipsec.

    1.Правило было. Переместил вверх.
    2. АТС TDE200 после смены маски подсети вчера перезагружалась. Таблица во вложении.






  • Возможно, прозвучит глупо, но проверьте нет ли дублирующихся MACов.



  • Чертовщина какая то. Опять со шлюза 192.168.1.1 пинг не идет в удаленную подсеть 172.27.0.0. Со шлюза 172.27.0.1 сеть 192.168.1.0 пингуется(кроме АТС 192.168.1.100)




  • @pigbrother:

    Возможно, прозвучит глупо, но проверьте нет ли дублирующихся MACов.

    Посмотрю



  • Что говорит tracert c машин за pf в сеть за зюхелем ? Где затык ?

    Прошивка на зюхеле - последняя ? Все же склоняюсь к мысли , что надо на зюхеле поколдовать - правила fw, nat …



  • @werter:

    Что говорит tracert c машин за pf в сеть за зюхелем ? Где затык ?

    Прошивка на зюхеле - последняя ? Все же склоняюсь к мысли , что надо на зюхеле поколдовать - правила fw, nat …

    Присылаю трассировку с обеих сторон. На зухеле обновил прошивку. Теперь последняя.






  • Меня больше всего смущает то, что pfSense не пингует АТС в своей подсети. Комп в этой же подсети пингует. Мне кажется копать нужно на pfSense.



  • Кто у вас в кач-ве dhcp работает  ?



  • @werter:

    Кто у вас в кач-ве dhcp работает  ?

    Сервер поднят на Windows Server 2008



  • Сервер поднят на Windows Server 2008

    Какой диапазон ip но выдает ? С какого по какой ?



  • @werter:

    Какой диапазон ip но выдает ? С какого по какой ?

    192.168.2.10-192.168.3.199. Данные адреса не попадают под пулл.



  • Нашел косяк! У TDE200 шлюз указан и потому через него пинги идут в удаленную подсеть. А на станции NS500, которая сейчас 172.27.0.5, шлюз не указан. Он точно настраивался там, но видимо когда подсеть менялась, я забыл его указать с новым айпи. Соответсвенно на данный момент АТСки пингуют одна другую. Спасибо всем большое за советы и за потраченное время. Осталось только разобраться, почему периодически pfSense перестает пинговать АТС внутри своей подсети, хотя та прекрасно  видит локальные компьютеры.



  • Классическая ошибка, на эти грабли наступал сам.
    Зато теперь всегда будете проверять правильность указания шлюза.


Log in to reply