доступ к шлюзам
-
доброго времени суток форумчане.
кто-либо реализовывал такую схему? - см. рисунокgate04
wan ip - 10.10.10.10
lan ip - 10.1.1.1/24
syn ip - 172.16.0.1/24gate05
wan ip - 10.10.10.11
lan ip - 10.1.1.2/24
syn ip - 172.16.0.2/24virtual wan ip - 10.10.10.12
virtual lan ip - 10.1.1.3pc1(10.1.11.10) принадлежит vlan11 cо шлюзом 10.1.11.254
pc3(10.1.10.10) принадлежит vlan10 cо шлюзом 10.1.10.254esw1 - коммутатор 3 уровня
маршрутизирует vlan
есть пинги из vlan10 в vlan11 и наоборотна esw1 прописан маршрут ip route 0.0.0.0 0.0.0.0 10.1.1.3
кусок конфига esw1:
interface Port-channel1
switchport trunk allowed vlan 1,2,9-13,1002-1005
switchport mode trunkinterface FastEthernet1/1 - линк до gate04
switchport access vlan 9
duplex full
speed 100interface FastEthernet1/2 - линк до gate05
switchport access vlan 9
duplex full
speed 100interface FastEthernet1/3 - линк до pc3
switchport access vlan 10
duplex full
speed 100interface Vlan9
ip address 10.1.1.254 255.255.255.0interface Vlan10
ip address 10.1.10.254 255.255.255.0interface Vlan11
ip address 10.1.11.254 255.255.255.0ESW1#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static routeGateway of last resort is 10.1.1.3 to network 0.0.0.0
10.0.0.0/24 is subnetted, 5 subnets
C 10.1.11.0 is directly connected, Vlan11
C 10.1.10.0 is directly connected, Vlan10
C 10.1.13.0 is directly connected, Vlan13
C 10.1.12.0 is directly connected, Vlan12
C 10.1.1.0 is directly connected, Vlan9
S* 0.0.0.0/0 [1/0] via 10.1.1.3проблема в том, что не могу попасть из vlan10 и vlan11 на шлюзы, то есть не идёт пинг.
так же нет пинга со шлюзов в vlan 10 и 11подскажите пож. направление для решения данной задачи.
-
А вы pfSense объяснили где находяться ваши дополнительные сети? И разрешающие правила на LAN интерфейсах?
-
да, маршруты добавлены на обоих шлюзах:
route add 10.1.10.0/24 10.1.1.254
route add 10.1.11.0/24 10.1.1.254правила фаервола:
протоколы any, источник lan net - назначение 10.1.10.0/24
протоколы any, источник lan net - назначение 10.1.11.0/24этими правилами добился только пинга на ip vlan10 10.1.10.254 и ip vlan11 10.1.11.254
пинга до хостов нет 10.1.10.10 и 10.1.11.10так же нет пинга с хостов на шлюзы.
pfsense 2.3.4
при настройке carp руководствовался несколькими статьями:
в одной нет необходимости включать manual nat и править правила - http://shop.nativepc.ru/content/78-pfsense-2-cookbook-6
в другой есть необходимость - https://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_(CARP)какая из статей корректна?
может проблема кроется в настройке nat? -
Предпочитаю официальные источники, а у потом остальное.
По поводу не дохода пингов — windows по умолчанию блокирует ВСЕ что не находится в частной подсети.
И пинги-пингами, но надо во время тестирования дампы снимать для заявления, что пинги не проходят.