Маршрутизация между IPSec site to site VPN и IPSec IKEv2 VPN (Mobile Clients)



  • Всем доброго времени суток.

    Описание текущей конфигурации:
    Есть центральный офис "A", который подключен с помощью IPSec (site to site VPN) к головному офису "B" за границей. Через IPSec офис "A" получает доступ к нескольким подсетям офиса "B" (10.33.33.0/24, 10.44.44.0/24). Офис "B" принимает пакеты только если они отправлены из нашей подсети LAN (10.1.1.0/24).

    Теперь собственно проблема:
    Настроил в офисе "A" IPSec IKEv2 VPN (Mobile Clients) для того чтобы можно было подключаться из дома к локальной сети организации. Этот VPN назначает клиентам виртуальные IP адреса (из подсети 192.168.32.0/24). Из дома подключаюсь без проблем, но имею доступ только в подсеть LAN (10.1.1.0/24). Для того, чтобы через установленный с офисом "A" IPSec IKEv2 VPN канал иметь доступ в интернет, можно добавить в Outbound NAT правило:

    Interface: WAN
    Source: 192.168.32.0/24
    Port: *
    Destination: *
    Port: *
    NAT Address: WAN address

    Доступ из дома в интернет (через VPN) появляется. Но чтобы из дома иметь доступ к подсетям головного офиса "B" нужно чтобы пакеты шли из подсети LAN (10.1.1.0/24), а они идут от адреса 192.168.32.1.

    По идее нужно сделать следующее:
    Пакет приходит с интерфейса IPSec с адреса (Src: 192.168.32.1, Dst: 10.33.33.205)
    Его нужно как-то занатить чтобы пакет был вида (Src: 10.1.1.252, Dst: 10.33.33.205)
    И отправить обратно в интерфейс IPSec чтобы он пошёл в головной офис "B".

    Если добавить в Outbound NAT правило:

    Interface: IPSec
    Source: 192.168.32.0/24
    Port: *
    Destination: 10.33.33.0/24
    Port: *
    NAT Address: 10.1.1.252 (виртуальный IP адрес)

    То ничего не происходит. Правило не срабатывает.

    Так же пытался настроить параметр NAT/BINAT в IPSec (Mobile Clients) > Phase 2:
    Выставлял такие значения:
    Network 10.1.1.0/24
    Address 10.1.1.252
    LAN subnet (эта настройка вообще не применяется, сбрасывается)

    Можно как-то реализовать эту задачу в pfsense?



  • Доброе.
    Рисуйте схему с адресацией. Так лучше для понимания нам всем.

    И покажите полный скрин правил fw и NAT.



  • Для проверки работы NAT посмотрите при поднятых всех соединениях какие интерфейсы у вас существуют в системе.
    Вполне возможно именно это интерфейс Site-to-Site не отображается в выборе OutboundNAT



  • @PbIXTOP:

    Для проверки работы NAT посмотрите при поднятых всех соединениях какие интерфейсы у вас существуют в системе.
    Вполне возможно именно это интерфейс Site-to-Site не отображается в выборе OutboundNAT

    Отвечал в другой ветке, повторюсь:
    IPSec  не виден в Interfaces - Assign, как и не видны в Routes маршруты Ipsec.



  • Доброе.
    С OpenVPN подобное получалось. Даже без создания явного интрф. OpenVPN.
    Т.е. можно настроить каким лок. ip в др сети светить - своим (NoNAT) или пф-а (openvpn).

    P.s. А может для ipsec нужно создать доп. phase 2 , где в src будет ваша домашн. лок. сеть ? А уж после настроить еще и правило NAT.

    P.p.s. Если версия pf 2.2.х, то можно исп. pptp из дома и получать ip из сети 10.1.1.0/24



  • @werter:

    Доброе.
    С OpenVPN подобное получалось. Даже без создания явного интрф. OpenVPN.
    Т.е. можно настроить каким лок. ip в др сети светить - своим (NoNAT) или пф-а (openvpn).

    P.s. А может для ipsec нужно создать доп. phase 2 , где в src будет ваша домашн. лок. сеть ? А уж после настроить еще и правило NAT.

    P.p.s. Если версия pf 2.2.х, то можно исп. pptp из дома и получать ip из сети 10.1.1.0/24

    Заинтересован в ответе, трюк с 2-мя фазами мне лично в свое время не помог.