Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Связать две удаленные локалки

    Scheduled Pinned Locked Moved Russian
    7 Posts 4 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      fanofdogs
      last edited by

      Здравствуйте.
      Была работающая схема (схема 1). В офисе пяток компов, ходили в инет чере простенький роутер, на сервера на производстве попадали через клиентов OpenVPN на каждом компе. На производстве под сотню разных устройств - сервера, компы, видеорекордеры, IP телефония и т.д. Пользователи в инет ходили через прокси, с настроеными ограничениями, статистикой и т.д. Сделаны проброски портов снаружи во внутрь к видеонаблюдению и др. устройствам.

      Но руководство изьявило желание связать подразделения "напрямую", получать доступ к 1С и шарам на производстве не запуская клиента OpenVPN. Желание переросло в указание "сделать" и было подкреплено приобретением двух DrayTek-2925 для решения вопроса.

      Функционал данных устройств достаточно богатый и для подразделения "Офис" даже избыточный. Но для "Производства" до возможностей pfSense явно не дотягивающий. Попытались влить в схему новые устройства с минимальным изменением функционала pfSense и настроек на остальном оборудовании (схема 2).

      Что сделали:

      • связали между собой VPN-ом два DT-2925. Они с коробки "заточены" на организацию разных видов VPN-ов между собой. Мы подняли IPSec

      На pfSense:

      • на WAN прописали статический адрес из диапазона локальных сетей 172.16.0.2/24, шлюзом указали DT-2925 с адресом 172.16.0.1/24
      • поменяли DNS Resolver на DNS Forvarder. DNS-ом указали DT-2925 с адресом 172.16.0.1/24
      • убрали птичку "Block private networks and loopback addresses"

      И о чудо, оно даже заработало! Но грабли обнаружились быстро. С производства доступен инет и пингуются компы из офиса, но это не актуально, т.к. в этом направлении "ходить" и раньше не было необходимости. А беда в том, что с офиса на производство попасть не получилось. Ping не проходит, tracert останавливается на WAN pfSense 172.16.0.2

      Все дальнейшие эксперименты с настройками на pfSense ни к чему не привели. Много чего пробовали, разные правила фаервола, пытались по логам понять где блочиться, пытались фаервол вообще выключить. Но ни чего не сработало. Систему ушатали вообще… По этому подняли с предварительно сохраненного конфига, вернувшись к работе по старой схеме (схема 1)

      Но вопрос решать надо и взяли паузу на обдумывание.

      Поняли, что не хватает знаний и решили обратится за помощью:

      • такая схема вообще работоспособна? pfSense можно настроить на пропуск трафика со стороны WAN, как на обычном аппаратном роутере?
      • если да, то что нужно делать
      • если нет, то может имеет смысл поменять схему. Например сделать pfSense не роутером а мостом? Тогда правда не понятно, как он может использоваться в качестве шлюза для локалки?

      И да, в форуме просмотрели имеющиеся темы. Но вот такого не нашли. Попадалась одна тема, где обсуждалась возможность связать в мост WAN и LAN, но не поняли, как оно будет работать в нашем случае. Пока не экпериментировали

      Пожалуйста, подскажите, в какую сторону копать.

      P.S. После того как отправил сообщение, понял как правильно сформулировать свой вопрос:

      Как настроить симметричную маршрутизацию на pfSense
      ![Shema 1.jpg](/public/imported_attachments/1/Shema 1.jpg)
      ![Shema 1.jpg_thumb](/public/imported_attachments/1/Shema 1.jpg_thumb)
      ![Shema 2.jpg](/public/imported_attachments/1/Shema 2.jpg)
      ![Shema 2.jpg_thumb](/public/imported_attachments/1/Shema 2.jpg_thumb)

      1 Reply Last reply Reply Quote 0
      • I
        Igor Filth
        last edited by

        А зачем DrayTEK на производстве нужен? IPSEC между DT в офисе и PF на производстве поднимите.

        1 Reply Last reply Reply Quote 0
        • F
          fanofdogs
          last edited by

          Хороший вопрос.
          В интерфейсе DrayTek все заточено на максимальное удобство связывания с таким же устройством. Собственно из-за этого и был сделан выбор в их пользу - получить практически аппаратный туннель, а дальше разруливать имеющимеся средствами.

          Практически этот вариант не пробовали, но думали. В интерфейс DrayTek вынесено минимальное кол-во параметров для их изменения.
          Если любопытно, загляните на эмулятор

          http://www.draytek.com/demo/Vigor2920series/v3.6.1/

          Версия старовата, но представление дает.
          См здесь - VPN and Remote Access >> LAN to LAN >> 1

          pfSense на странице настройки просит гораздо больше параметров, которые в DrayTek не видны и скорее всего либо выставлены в какое то умолчание, либо устанавливаются в фоне при связывании с аналогичным устройством.

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Доброе.
            Микротиков бы хватило. Или обычных роутеров + альтерн. прошивки (http://tomato.groov.pl/?page_id=69, прошивка там же. Прекрасно работает с openvpn, есть multiwan, qos и куча др.) Мучайтесь теперь  :'(

            1 Reply Last reply Reply Quote 0
            • P
              pigbrother
              last edited by

              Да, пара самых дешевх Микротиков предложила бы вам на выбор

              от IPIP,
              http://forummikrotik.ru/viewtopic.php?t=5693
              EOIP
              GRE
              PPTP
              L2TP
              SSTP
              до полноценного IPSEC.

              Open VPN тоже есть, но функционально несколько обрезан.

              По сути. На 2-й строне можно исключить draytek и настроить туннель draytek<->pfSense
              Инструкций для этого полно, например:
              http://www.nerdkey.co.uk/guides/encrypted-aes-vpn-tunnel-between-pfsense-2-3-and-draytek-2830/

              1 Reply Last reply Reply Quote 0
              • F
                fanofdogs
                last edited by

                Спасибо всем ответившим!

                Решили вопрос упрощением схемы, избавились от одного DT.

                Путем перебора/подбора параметров (на стороне pfSens-а) удалось поднять IPSec напрямую с DT-2925 на pfSens.

                Действительно, при выборе схемы на начальном этапе лоханулись. Но зато теперь есть запасная железяка. которую можно пристроить еще куда то или использовать как резерв.

                Еще раз спасибо всем!

                1 Reply Last reply Reply Quote 0
                • P
                  pigbrother
                  last edited by

                  Поздравляю.

                  Путем перебора/подбора параметров (на стороне pfSens-а) удалось поднять IPSec напрямую с DT-2925 на pfSens.

                  Решал подобный квест по связке через IPsec pfSense и Kerio. Обошелся без перебора параметров, удалось на форумах Kerio найти нужные.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.