доступ к шлюзам

aka_daemon

доброго времени суток форумчане.
кто-либо реализовывал такую схему? - см. рисунок

gate04
wan ip - 10.10.10.10
lan ip - 10.1.1.1/24
syn ip - 172.16.0.1/24

gate05
wan ip - 10.10.10.11
lan ip - 10.1.1.2/24
syn ip - 172.16.0.2/24

virtual wan ip - 10.10.10.12
virtual lan ip - 10.1.1.3

pc1(10.1.11.10) принадлежит vlan11 cо шлюзом 10.1.11.254
pc3(10.1.10.10) принадлежит vlan10 cо шлюзом 10.1.10.254

esw1 - коммутатор 3 уровня
маршрутизирует vlan
есть пинги из vlan10 в vlan11 и наоборот

на esw1 прописан маршрут ip route 0.0.0.0 0.0.0.0 10.1.1.3

кусок конфига esw1:

interface Port-channel1
switchport trunk allowed vlan 1,2,9-13,1002-1005
switchport mode trunk

interface FastEthernet1/1 - линк до gate04
switchport access vlan 9
duplex full
speed 100

interface FastEthernet1/2 - линк до gate05
switchport access vlan 9
duplex full
speed 100

interface FastEthernet1/3 - линк до pc3
switchport access vlan 10
duplex full
speed 100

interface Vlan9
ip address 10.1.1.254 255.255.255.0

interface Vlan10
ip address 10.1.10.254 255.255.255.0

interface Vlan11
ip address 10.1.11.254 255.255.255.0

ESW1#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
      D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
      N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
      E1 - OSPF external type 1, E2 - OSPF external type 2
      i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
      ia - IS-IS inter area, * - candidate default, U - per-user static route
      o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.1.1.3 to network 0.0.0.0

10.0.0.0/24 is subnetted, 5 subnets
C      10.1.11.0 is directly connected, Vlan11
C      10.1.10.0 is directly connected, Vlan10
C      10.1.13.0 is directly connected, Vlan13
C      10.1.12.0 is directly connected, Vlan12
C      10.1.1.0 is directly connected, Vlan9
S*  0.0.0.0/0 [1/0] via 10.1.1.3

проблема в том, что не могу попасть из vlan10 и vlan11 на шлюзы, то есть не идёт пинг.
так же нет пинга со шлюзов в vlan 10 и 11

подскажите пож. направление для решения данной задачи.

PbIXTOP

А вы pfSense объяснили где находяться ваши дополнительные сети? И разрешающие правила на LAN интерфейсах?

aka_daemon

да, маршруты добавлены на обоих шлюзах:
route add 10.1.10.0/24 10.1.1.254
route add 10.1.11.0/24 10.1.1.254

правила фаервола:
протоколы any, источник lan net - назначение 10.1.10.0/24
протоколы any, источник lan net - назначение 10.1.11.0/24

этими правилами добился только пинга на ip vlan10 10.1.10.254 и ip vlan11 10.1.11.254
пинга до хостов нет 10.1.10.10 и 10.1.11.10

так же нет пинга с хостов на шлюзы.

pfsense 2.3.4

при настройке carp руководствовался несколькими статьями:
в одной нет необходимости включать manual nat и править правила - http://shop.nativepc.ru/content/78-pfsense-2-cookbook-6
в другой есть необходимость  - https://doc.pfsense.org/index.php/Configuring_pfSense_Hardware_Redundancy_(CARP)

какая из статей корректна?
может проблема кроется в настройке nat?

PbIXTOP

Предпочитаю официальные источники, а у потом остальное.
По поводу не дохода пингов — windows по умолчанию блокирует ВСЕ что не находится в частной подсети.
И пинги-пингами, но надо во время тестирования дампы снимать для заявления, что пинги не проходят.