Связать две удаленные локалки



  • Здравствуйте.
    Была работающая схема (схема 1). В офисе пяток компов, ходили в инет чере простенький роутер, на сервера на производстве попадали через клиентов OpenVPN на каждом компе. На производстве под сотню разных устройств - сервера, компы, видеорекордеры, IP телефония и т.д. Пользователи в инет ходили через прокси, с настроеными ограничениями, статистикой и т.д. Сделаны проброски портов снаружи во внутрь к видеонаблюдению и др. устройствам.

    Но руководство изьявило желание связать подразделения "напрямую", получать доступ к 1С и шарам на производстве не запуская клиента OpenVPN. Желание переросло в указание "сделать" и было подкреплено приобретением двух DrayTek-2925 для решения вопроса.

    Функционал данных устройств достаточно богатый и для подразделения "Офис" даже избыточный. Но для "Производства" до возможностей pfSense явно не дотягивающий. Попытались влить в схему новые устройства с минимальным изменением функционала pfSense и настроек на остальном оборудовании (схема 2).

    Что сделали:

    • связали между собой VPN-ом два DT-2925. Они с коробки "заточены" на организацию разных видов VPN-ов между собой. Мы подняли IPSec

    На pfSense:

    • на WAN прописали статический адрес из диапазона локальных сетей 172.16.0.2/24, шлюзом указали DT-2925 с адресом 172.16.0.1/24
    • поменяли DNS Resolver на DNS Forvarder. DNS-ом указали DT-2925 с адресом 172.16.0.1/24
    • убрали птичку "Block private networks and loopback addresses"

    И о чудо, оно даже заработало! Но грабли обнаружились быстро. С производства доступен инет и пингуются компы из офиса, но это не актуально, т.к. в этом направлении "ходить" и раньше не было необходимости. А беда в том, что с офиса на производство попасть не получилось. Ping не проходит, tracert останавливается на WAN pfSense 172.16.0.2

    Все дальнейшие эксперименты с настройками на pfSense ни к чему не привели. Много чего пробовали, разные правила фаервола, пытались по логам понять где блочиться, пытались фаервол вообще выключить. Но ни чего не сработало. Систему ушатали вообще… По этому подняли с предварительно сохраненного конфига, вернувшись к работе по старой схеме (схема 1)

    Но вопрос решать надо и взяли паузу на обдумывание.

    Поняли, что не хватает знаний и решили обратится за помощью:

    • такая схема вообще работоспособна? pfSense можно настроить на пропуск трафика со стороны WAN, как на обычном аппаратном роутере?
    • если да, то что нужно делать
    • если нет, то может имеет смысл поменять схему. Например сделать pfSense не роутером а мостом? Тогда правда не понятно, как он может использоваться в качестве шлюза для локалки?

    И да, в форуме просмотрели имеющиеся темы. Но вот такого не нашли. Попадалась одна тема, где обсуждалась возможность связать в мост WAN и LAN, но не поняли, как оно будет работать в нашем случае. Пока не экпериментировали

    Пожалуйста, подскажите, в какую сторону копать.

    P.S. После того как отправил сообщение, понял как правильно сформулировать свой вопрос:

    Как настроить симметричную маршрутизацию на pfSense
    ![Shema 1.jpg](/public/imported_attachments/1/Shema 1.jpg)
    ![Shema 1.jpg_thumb](/public/imported_attachments/1/Shema 1.jpg_thumb)
    ![Shema 2.jpg](/public/imported_attachments/1/Shema 2.jpg)
    ![Shema 2.jpg_thumb](/public/imported_attachments/1/Shema 2.jpg_thumb)



  • А зачем DrayTEK на производстве нужен? IPSEC между DT в офисе и PF на производстве поднимите.



  • Хороший вопрос.
    В интерфейсе DrayTek все заточено на максимальное удобство связывания с таким же устройством. Собственно из-за этого и был сделан выбор в их пользу - получить практически аппаратный туннель, а дальше разруливать имеющимеся средствами.

    Практически этот вариант не пробовали, но думали. В интерфейс DrayTek вынесено минимальное кол-во параметров для их изменения.
    Если любопытно, загляните на эмулятор

    http://www.draytek.com/demo/Vigor2920series/v3.6.1/

    Версия старовата, но представление дает.
    См здесь - VPN and Remote Access >> LAN to LAN >> 1

    pfSense на странице настройки просит гораздо больше параметров, которые в DrayTek не видны и скорее всего либо выставлены в какое то умолчание, либо устанавливаются в фоне при связывании с аналогичным устройством.



  • Доброе.
    Микротиков бы хватило. Или обычных роутеров + альтерн. прошивки (http://tomato.groov.pl/?page_id=69, прошивка там же. Прекрасно работает с openvpn, есть multiwan, qos и куча др.) Мучайтесь теперь  :'(



  • Да, пара самых дешевх Микротиков предложила бы вам на выбор

    от IPIP,
    http://forummikrotik.ru/viewtopic.php?t=5693
    EOIP
    GRE
    PPTP
    L2TP
    SSTP
    до полноценного IPSEC.

    Open VPN тоже есть, но функционально несколько обрезан.

    По сути. На 2-й строне можно исключить draytek и настроить туннель draytek<->pfSense
    Инструкций для этого полно, например:
    http://www.nerdkey.co.uk/guides/encrypted-aes-vpn-tunnel-between-pfsense-2-3-and-draytek-2830/



  • Спасибо всем ответившим!

    Решили вопрос упрощением схемы, избавились от одного DT.

    Путем перебора/подбора параметров (на стороне pfSens-а) удалось поднять IPSec напрямую с DT-2925 на pfSens.

    Действительно, при выборе схемы на начальном этапе лоханулись. Но зато теперь есть запасная железяка. которую можно пристроить еще куда то или использовать как резерв.

    Еще раз спасибо всем!



  • Поздравляю.

    Путем перебора/подбора параметров (на стороне pfSens-а) удалось поднять IPSec напрямую с DT-2925 на pfSens.

    Решал подобный квест по связке через IPsec pfSense и Kerio. Обошелся без перебора параметров, удалось на форумах Kerio найти нужные.