Мобильный и Site-to-Site IPSEC
-
Коллеги, подскажите , пожалуйста, как соединить 2 ipsec роутингом.
есть pf, LAN 192.168.10.0/24, WAN 1.1.1.1
На нем поднят IPSEC-туннель в сеть 192.168.1.0/24
пинг 192.168.10.0<->192.168.1.0 есть
также, на pf есть IPSEC для мобильных клиентов, Virtual address pool для мобильных клиентов выделен 10.10.10.0/24, стоит опция Provide a list of accessible networks to clients
При подключении, мобильный клиент успешно пингует 192.168.10.0/24, однако не пингует 192.168.1.0/24
Подскажите , пожалуйста, что где поправить, чтобы пинг ходил с мобильного ipsec-клиента в 192.168.1.0/24 ? В Firewall - Rules - IPSEC есть правило, разрешающее IPv4 from any to any.
-
Доброе.
Добавить phase 2 для моб. клиентов, где в remote network будет 192.168.1.0/24 -
а в Фазе 2 для мобильных клиентов нельзя добавить remote network, там только Local network и NAT\BiNAT translation
-
Доброе
Попробуйте.
http://www.thegeekpub.com/5855/pfsense-road-warrior-ipsec-config-works/ -
Коллеги, решилось!
1. VPN-IPsec-Mobile Clients-Edit Phase 2-> Local Network выставил Network, 0.0.0.0/0
2. из исходного поста видно, что у нас уже была Site-to-Site VPN между сетями 192.168.10.0 и 192.168.1.0; их peer , соответственно, 1.1.1.1 и 2.2.2.2
таким образом, на pf создал второй Site-to-Site VPN между сетями 10.10.10.0/24 ( Virtual address pool для мобильных клиентов, см. выше) и 192.168.1.0 (peer 1.1.1.1 и 2.2.2.2 соответственно)3. при подключении мобильным клиентом прекрасно пингуется не пинговавшаяся ранее сеть 192,168,1,0/24, так как для нее теперь есть четкий туннель.
помогло только это.
был еще вариант Virtual address pool для мобильных клиентов задать 192.168.10.192/26, то есть как часть сети LAN- тогда пинговалась удаленная локалка 192.168.1.0/24, но пропадала из пинга вся LAN-сеть (192.168.10.0/24)werter , спасибо за наставление на путь :)
-
странно, что PF, зная про сеть 192.168.1.0/24 (она у него прописана в том же ipsec, просто в другом туннеле), не пускал в нее мобильных клиентов.
-
Роутинга для моб. клиентов не было.
