[решено]Не работает маршрут из локальной с



  • 2.3.4-RELEASE-p1 (i386)
    Добавил еще один интерфейс - NKC.
    Прописал маршрут туда - все как делал раньше ни один раз.
    С маршрутизатора pfsense трафик идет через новый интерфейс, а из локальной сети нет.
    Подскажите как исправить? надо чтобы из локальной сети пинговался узел 10,202,1,1

    ![Static routes.PNG](/public/imported_attachments/1/Static routes.PNG)
    ![Static routes.PNG_thumb](/public/imported_attachments/1/Static routes.PNG_thumb)









  • Добрый.

    Прописал маршрут туда - все как делал раньше ни один раз.
    С маршрутизатора pfsense трафик идет через новый интерфейс, а из локальной сети нет

    Покажите скрины настроек интерфейса NKC.
    Маршрут руками явно задавать не нужно - вы ж интерфейс явно создали. У интерфейса есть адрес, маска подсети и шлюз. Этого достаточно. Если настроено верно, конечно.

    Зы. Cудя по скринам у интерфейса NKC адрес должен быть из сети 10.202.х.х и маска /16. Остальное рулится правилами fw. На интерфейсе NKC поставьте временно всё-всем по всем протоколам разрешено.



  • @werter:

    Покажите скрины настроек интерфейса NKC.

    Рисунок if_NKC

    Маршрут руками явно задавать не нужно - вы ж интерфейс явно создали.

    Если убрать маршрут, доступ к узлу 10.202.1.1 пропадает даже с pfsense.

    У интерфейса есть адрес, маска подсети и шлюз. Этого достаточно. Если настроено верно, конечно.

    В схеме сети (рисунок Схема_сети), ее прототип "спустили сверху" (рисунок Прототип схемы сети), шлюза у интерфейса не предусмотрено. Но у меня есть аналогично настроенные интерфейсы без шлюза, куда доступ из лвс есть.

    На интерфейсе NKC поставьте временно всё-всем по всем протоколам разрешено.

    Поставил. (рисунок Rules_NKC). Результата нет.



    ![Прототип схемы сети.png](/public/imported_attachments/1/Прототип схемы сети.png)
    ![Прототип схемы сети.png_thumb](/public/imported_attachments/1/Прототип схемы сети.png_thumb)


    ![Схема сети.png](/public/imported_attachments/1/Схема сети.png)
    ![Схема сети.png_thumb](/public/imported_attachments/1/Схема сети.png_thumb)



  • Добрый.

    Если убрать маршрут, доступ к узлу 10.202.1.1 пропадает даже с pfsense.

    Мил человек, а его и не будет.

    Зы. Cудя по скринам у интерфейса NKC адрес должен быть из сети 10.202.х.х и маска /16

    Внимательнее. Исправляйте. Не нужны в вашем случае маршруты - все рулится правильными настройками интерфейсов. И правильными правилами fw.

    P.s. Пользую сам и настоятельно рекомендую. В закладки https://linkmeup.ru/sdsm



  • Не понятно, из чего вытекает, что маска должна быть /16.

    Исправляйте

    Но исправил, доступа к 10.202.1.1 нет



  • В схеме сети (рисунок Схема_сети), ее прототип "спустили сверху" (рисунок Прототип схемы сети), шлюза у интерфейса не предусмотрено

    Снова неверно. На вашем же скрине gw имеется. Вот его и укажите в настройках NKC в кач-ве gw. Маску оставьте /16.

    Если и с остальными интерфейсами похожая история - исправляйте. Не нужно рисовать маршруты руками, если того явно не требует ситуация.

    ![2018-03-25 12_28_28.png](/public/imported_attachments/1/2018-03-25 12_28_28.png)
    ![2018-03-25 12_28_28.png_thumb](/public/imported_attachments/1/2018-03-25 12_28_28.png_thumb)
    ![2018-03-25 12_31_57.png](/public/imported_attachments/1/2018-03-25 12_31_57.png)
    ![2018-03-25 12_31_57.png_thumb](/public/imported_attachments/1/2018-03-25 12_31_57.png_thumb)



  • @werter:

    Снова неверно. На вашем же скрине gw имеется. Вот его и укажите в настройках NKC в кач-ве gw. Маску оставьте /16.

    В настройках if нет шлюза, в маршрутах - есть, согласно спущенной схеме.
    Сделал по вашей рекомендации - добавил шлюз в настройки if. Все равно 10,202,1,1 не доступен



  • Сделал по вашей рекомендации - добавил шлюз в настройки if.

    А маршруты удалили?

    Сделать бэкап конфига.
    Маршруты удалить. Сделать Reset states (связь пропадет на нек-ое время)
    Показать общий скрин Интерфейсы +  Таблицу марш-ции на пф.



  • Может я что-то недопаказал или схема сети не отражает всю картину, но подсеть 10.202.8.0/24, в которой находятся интерфейсы pfsense и HW-1000, не принадлежит подсети 10.202.0.0/16, в которую маршрутизируется трафик из LAN. Вы все равно настаиваете, что можно обойтись без стат.маршрутов?



  • Хм. Как все запутано-то.

    Все же на данный момент показать общий скрин Интерфейсы +  Таблицу марш-ции на пф.

    P.s. Однако, выделенный маршрут все равно перекрывает дипапазон и весь трафик касаемо 10.202.x.x уходит в него. Решите этот вопрос.

    ![2018-03-25 12_49_11.png](/public/imported_attachments/1/2018-03-25 12_49_11.png)
    ![2018-03-25 12_49_11.png_thumb](/public/imported_attachments/1/2018-03-25 12_49_11.png_thumb)



  • показать общий скрин Интерфейсы +  Таблицу марш-ции на пф.

    Interfaces\Interface Assignments и System\Routing\Static Routes ?

    Однако, выделенный маршрут все равно перекрывает дипапазон и весь трафик касаемо 10.202.x.x уходит в него.

    здесь согласен, скорее все_го_ проблема в этом. однако непонятно почему с  самого пфсенсе трафик уходил куда-надо



  • Решено.
    Забыл прописать Mappings в Firewall\NAT\Outbound. У меня стоит "Manual Outbound NAT rule generation".
    werter, в любом случае спасибо вам