[решено]Не работает маршрут из локальной с

garald50

2.3.4-RELEASE-p1 (i386)
Добавил еще один интерфейс - NKC.
Прописал маршрут туда - все как делал раньше ни один раз.
С маршрутизатора pfsense трафик идет через новый интерфейс, а из локальной сети нет.
Подскажите как исправить? надо чтобы из локальной сети пинговался узел 10,202,1,1

![Static routes.PNG](/public/imported_attachments/1/Static routes.PNG)
![Static routes.PNG_thumb](/public/imported_attachments/1/Static routes.PNG_thumb)

Firewall_Rules_LAN.PNG_thumb

ping_to_gw_from_lan.PNG_thumb

ping_from_lan.PNG_thumb

ping_from_pfsense.PNG_thumb

werter

Добрый.

Прописал маршрут туда - все как делал раньше ни один раз.
С маршрутизатора pfsense трафик идет через новый интерфейс, а из локальной сети нет

Покажите скрины настроек интерфейса NKC.
Маршрут руками явно задавать не нужно - вы ж интерфейс явно создали. У интерфейса есть адрес, маска подсети и шлюз. Этого достаточно. Если настроено верно, конечно.

Зы. Cудя по скринам у интерфейса NKC адрес должен быть из сети 10.202.х.х и маска /16. Остальное рулится правилами fw. На интерфейсе NKC поставьте временно всё-всем по всем протоколам разрешено.

garald50

@werter:

Покажите скрины настроек интерфейса NKC.

Рисунок if_NKC

Маршрут руками явно задавать не нужно - вы ж интерфейс явно создали.

Если убрать маршрут, доступ к узлу 10.202.1.1 пропадает даже с pfsense.

У интерфейса есть адрес, маска подсети и шлюз. Этого достаточно. Если настроено верно, конечно.

В схеме сети (рисунок Схема_сети), ее прототип "спустили сверху" (рисунок Прототип схемы сети), шлюза у интерфейса не предусмотрено. Но у меня есть аналогично настроенные интерфейсы без шлюза, куда доступ из лвс есть.

На интерфейсе NKC поставьте временно всё-всем по всем протоколам разрешено.

Поставил. (рисунок Rules_NKC). Результата нет.

if_NKC.PNG_thumb
![Прототип схемы сети.png](/public/imported_attachments/1/Прототип схемы сети.png)
![Прототип схемы сети.png_thumb](/public/imported_attachments/1/Прототип схемы сети.png_thumb)

Rules_NKC.PNG_thumb
![Схема сети.png](/public/imported_attachments/1/Схема сети.png)
![Схема сети.png_thumb](/public/imported_attachments/1/Схема сети.png_thumb)

werter

Добрый.

Если убрать маршрут, доступ к узлу 10.202.1.1 пропадает даже с pfsense.

Мил человек, а его и не будет.

Зы. Cудя по скринам у интерфейса NKC адрес должен быть из сети 10.202.х.х и маска /16

Внимательнее. Исправляйте. Не нужны в вашем случае маршруты - все рулится правильными настройками интерфейсов. И правильными правилами fw.

P.s. Пользую сам и настоятельно рекомендую. В закладки https://linkmeup.ru/sdsm

garald50

Не понятно, из чего вытекает, что маска должна быть /16.

Исправляйте

Но исправил, доступа к 10.202.1.1 нет

werter

В схеме сети (рисунок Схема_сети), ее прототип "спустили сверху" (рисунок Прототип схемы сети), шлюза у интерфейса не предусмотрено

Снова неверно. На вашем же скрине gw имеется. Вот его и укажите в настройках NKC в кач-ве gw. Маску оставьте /16.

Если и с остальными интерфейсами похожая история - исправляйте. Не нужно рисовать маршруты руками, если того явно не требует ситуация.

![2018-03-25 12_28_28.png](/public/imported_attachments/1/2018-03-25 12_28_28.png)
![2018-03-25 12_28_28.png_thumb](/public/imported_attachments/1/2018-03-25 12_28_28.png_thumb)
![2018-03-25 12_31_57.png](/public/imported_attachments/1/2018-03-25 12_31_57.png)
![2018-03-25 12_31_57.png_thumb](/public/imported_attachments/1/2018-03-25 12_31_57.png_thumb)

garald50

@werter:

Снова неверно. На вашем же скрине gw имеется. Вот его и укажите в настройках NKC в кач-ве gw. Маску оставьте /16.

В настройках if нет шлюза, в маршрутах - есть, согласно спущенной схеме.
Сделал по вашей рекомендации - добавил шлюз в настройки if. Все равно 10,202,1,1 не доступен

werter

Сделал по вашей рекомендации - добавил шлюз в настройки if.

А маршруты удалили?

Сделать бэкап конфига.
Маршруты удалить. Сделать Reset states (связь пропадет на нек-ое время)
Показать общий скрин Интерфейсы + Таблицу марш-ции на пф.

garald50

Может я что-то недопаказал или схема сети не отражает всю картину, но подсеть 10.202.8.0/24, в которой находятся интерфейсы pfsense и HW-1000, не принадлежит подсети 10.202.0.0/16, в которую маршрутизируется трафик из LAN. Вы все равно настаиваете, что можно обойтись без стат.маршрутов?

werter

Хм. Как все запутано-то.

Все же на данный момент показать общий скрин Интерфейсы + Таблицу марш-ции на пф.

P.s. Однако, выделенный маршрут все равно перекрывает дипапазон и весь трафик касаемо 10.202.x.x уходит в него. Решите этот вопрос.

![2018-03-25 12_49_11.png](/public/imported_attachments/1/2018-03-25 12_49_11.png)
![2018-03-25 12_49_11.png_thumb](/public/imported_attachments/1/2018-03-25 12_49_11.png_thumb)

garald50

показать общий скрин Интерфейсы + Таблицу марш-ции на пф.

Interfaces\Interface Assignments и System\Routing\Static Routes ?

Однако, выделенный маршрут все равно перекрывает дипапазон и весь трафик касаемо 10.202.x.x уходит в него.

здесь согласен, скорее все_го_ проблема в этом. однако непонятно почему с самого пфсенсе трафик уходил куда-надо

garald50

Решено.
Забыл прописать Mappings в Firewall\NAT\Outbound. У меня стоит "Manual Outbound NAT rule generation".
werter, в любом случае спасибо вам