Маршруты двух офисов

Ilyuha

Помогите пожалуйста настроить маршруты для двух офисов. PF1 192.168.1.0/24, PF2 192.168.2.0/24, соединены прямым проводом (интерфейс VLAN), на PF1 192.168.10.1, на PF2 192.168.10.2. Между роутерами трафик ходит, правила разрешают всё, в НАТ аут добавил соответствующие маршруты подсетей двух офисов. Ещё что-то нужно настроить чтобы трафик ходил между клиентами подсетей двух офисов?

PbIXTOP

@Ilyuha:

Помогите пожалуйста настроить маршруты для двух офисов. PF1 192.168.1.0/24, PF2 192.168.2.0/24, соединены прямым проводом (интерфейс VLAN), на PF1 192.168.10.1, на PF2 192.168.10.2. Между роутерами трафик ходит, правила разрешают всё, в НАТ аут добавил соответствующие маршруты подсетей двух офисов. Ещё что-то нужно настроить чтобы трафик ходил между клиентами подсетей двух офисов?

А зачем вам NAT при прямой маршрутизации?

Ilyuha

А как клиент из сети 192.168.1.0/24 узнает что клиент сети 192.168.2.0/24 за интерфейсом VLAN 192.168.10.1?

PbIXTOP

@Ilyuha:

А как клиент из сети 192.168.1.0/24 узнает что клиент сети 192.168.2.0/24 за интерфейсом VLAN 192.168.10.1?

А клиенту это не нужно обычно знать, если у вас конечно не асимметричная маршрутизация.
За маршруты отвечают маршрутизаторы. А клиент должен знать только один свой единственный.

Ilyuha

Подскажите тогда пожалуйста как настроить роутер?

Ilyuha

Накидал схему для наглядности. Ребят, помогите пожалуйста, не могу разобраться что куда прописать чтобы трафик маршрутизировался между офисами. Сейчас пингуются 192.168.10.1 и 192.168.10.2 из сетей обоих офисов. Сети 192.168.1.0 и 192.168.2.0 друг-друга не видят.

VLAN.png_thumb

httpxss

Может маршрут добавить 192.168.2.0/24 шлюз 192.168.10.2 на PF1, на PF2 тоже 192.168.1.0/24 шлюз 192.168.10.1.


route add -net 192.168.2.0/24 192.168.10.2 # на PF 1
route add -net 192.168.1.0/24 192.168.10.1 # на PF 2

Тут помойму NAT не нужен, обычная маршрутизация.

Сейчас пингуются 192.168.10.1 и 192.168.10.2 из сетей обоих офисов. Сети 192.168.1.0 и 192.168.2.0 друг-друга не видят.

Роутер должен знать где соответствующая подсеть находится, в Вашем случае получается, что роутер этого не знает. Это обычная маршрутизация. В pfSense помойму тут это прописывается:
System -> Routing -> Static Routes

Знатоки придут, подскажут.

werter

Доброе.
Добавить маршруты в System -> Routing -> Static Routes для обеих сетей.
Добавить правила fw из LAN1 в LAN2 и наоборот.
У всех машин в обоих сетях шлюзами должны быть ip их pfsense (192.168.1.х и 192.168.2.х соответственно). Проверьте это.
Откл. (временно) на подопытных машинах фаерволлы, антивирусы.

После настроек вышеописанного, покажите что в выводе traceroute 192.168.1.х и traceroute 192.168.1.х из соответсв. сетей.

P.s. Когда все настроите, то NAT, к-ый касается прохождения трафика из одной ЛАН в др можно и откл. Иначе при возникновении проблем (вирусная активность и тд) будет непонятно, от кого эти проблемы исходят, т.к. пакеты будут приходить от одного адреса 192.168.10.1 или 192.168.10.2 соответственно.

Ilyuha

httpxss
werter
Отлично, всё получилось: добавил статик роут и правило.

UPD:
из 192.168.1.0


tracert -d 192.168.2.5

Трассировка маршрута к 192.168.2.5 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  192.168.10.2
  2     1 ms     1 ms    <1 мс  192.168.2.5

из 192.168.2.0

tracert -d 192.168.1.5

Трассировка маршрута к 192.168.1.5 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  192.168.10.1
  2     1 ms    <1 мс    <1 мс  192.168.1.5

Ilyuha

@werter:

P.s. Когда все настроите, то NAT, к-ый касается прохождения трафика из одной ЛАН в др можно и откл. Иначе при возникновении проблем (вирусная активность и тд) будет непонятно, от кого эти проблемы исходят, т.к. пакеты будут приходить от одного адреса 192.168.10.1 или 192.168.10.2 соответственно.

У меня включен "Automatic outbound NAT ". Предлагаете включить "Manual Outbound NAT" и удалить из "Automatic Rules" правила для VLAN интерфейса?

pigbrother

У меня включен "Automatic outbound NAT ". Предлагаете включить "Manual Outbound NAT" и удалить из "Automatic Rules" правила для VLAN интерфейса?
НАТ аут добавил соответствующие маршруты подсетей двух офисов

Так все же, какой режим outbound NAT выбран?

По идее, если включен Automatic outbound NAT, то никаких записей для VLAN интерфейсов там нет.
Сохраните конфиг.
Переключитесь в Hybrid Outbound NAT (Не забыть нажать SAVE) и посмотрите, что появится в Automatic Rules и в Mappings, которые pfSense создаст сам.
Маршруты должны появиться в Diagnostics-Routes

И да, можно попросить скриншот настроек VLAN интерфейса и Static Routes для одной из сторон?

werter

@Ilyuha:

У меня включен "Automatic outbound NAT ". Предлагаете включить "Manual Outbound NAT" и удалить из "Automatic Rules" правила для VLAN интерфейса?

Переключитесь в Hybrid Outbound NAT (Не забыть нажать SAVE)

Верно. И поставить галку на No NAT в правиле NAT на VLAN-интерфейсе. Тоже самое проделать на др. стороне.

Ilyuha

@pigbrother:

Так все же, какой режим outbound NAT выбран?

Сначала был Гибрид, после использования ваших рекомендаций поставил Авто.

@pigbrother:

И да, можно попросить скриншот настроек VLAN интерфейса и Static Routes для одной из сторон?

![QIP Shot - Screen 2017.07.03 09-23-11.png](/public/imported_attachments/1/QIP Shot - Screen 2017.07.03 09-23-11.png)
![QIP Shot - Screen 2017.07.03 09-23-11.png_thumb](/public/imported_attachments/1/QIP Shot - Screen 2017.07.03 09-23-11.png_thumb)

Ilyuha

@werter:

Верно. И поставить галку на No NAT в правиле NAT на VLAN-интерфейсе. Тоже самое проделать на др. стороне.

Так?

![QIP Shot - Screen 2017.07.03 09-39-43.png](/public/imported_attachments/1/QIP Shot - Screen 2017.07.03 09-39-43.png)
![QIP Shot - Screen 2017.07.03 09-39-43.png_thumb](/public/imported_attachments/1/QIP Shot - Screen 2017.07.03 09-39-43.png_thumb)

werter

Доброе.
VPN32 - это тот самый провайдерский интерфейс, к-ым связаны 2 сети ? Тогда - да. И во 2-й сети тоже самое проделайте.