маршрутизация LAN -- DMZ



  • прошу помощи, с Pfsense не работал, первая установка. Задача: использование Pfsense в качестве брандмауэра между двумя частными подсетями. Проблема: с серверов vpn все работает, с компов из обеих подсетей - нет. Трассировка зависает на интерфейсе сервера vpn 23 из 23 подсети, в которую и подключена Pfsense внутренним адаптером https://c.radikal.ru/c13/1904/f9/948d750549bd.jpg



  • @smp36 какой тип VPN используется?
    Подозреваю, что openvpn
    Покажите настройки
    И правила на lan и VPN интерфейсах
    Причин может быть много
    И маршрутизация и неверно настроенный файрвол



  • с VPN нет проблем, все работает. Из 23 подсети в 35 подсеть работает маршрутизация только с сервера vpn 23. С Comp 3 не работает, хотя как видно из схемы он подключен также к 23 подсети. Из 24 подсети в 35 подсеть работает маршрутизация только с сервера vpn 24. С Comp 1 не работает



  • С Comp 1 маршрутизация работает в 23 подсеть и наоборот с С Comp 3 работает маршрутизация в 24 подсеть.



  • @smp36 Настройки нужны
    1 Lan, Wan правила PFSense
    2 Lan правила , настройки VPN ( какой тип VPN используете так и неясно) VPN23
    3 Lan правила , настройки VPN ( какой тип VPN используете так и неясно) VPN24
    4 Какой шлюз по умолчанию у сети 23/0 ???

    По поводу 23/0->35/0 думаю , что проблема в том , что у хостов 23/0 надо прописать "ручками" маршрут до 35/0



  • Lan, Wan правила PFSense - по дефолту, про VPN пока забудем, разберемся для начала с 23 подсетью.



  • @smp36
    Покажите правила WAN интерфейса PFSense
    И какой шлюз по умолчанию у хостов 23/0 ?



  • На WAN по дефолту нет правил, я никакие правила не добавлял. С VPN 23 работает и без правила на WAN, шлюз у клиентов 23 подсети VPN 23, на нем настроен маршрутизатор.



  • @smp36
    По поводу 23/0->35/0 думаю , что проблема в том , что у хостов 23/0 надо прописать "ручками" маршрут до 35/0

    Маршрут 23.x->VPN23->PFSENSE->35.x - скорее всего работать не будет
    Маршрут 23.x->PFSense->35.x - будет работать



  • так и есть



  • Но такое решение -"костыль", маршрут в 35 подсеть прописан в маршрутизаторе VPN 23 и в качестве шлюза указан PFsense. Получается из 24 подсети я не смогу настроить маршрутизацию, + к этому все как-то странно подвисает при добавлении маршрута руками https запрос в 35 подсеть обрабатывается очень долго... Добавил правило в WAN всем-все с ip на ip - ничего не изменилось.



  • @smp36 Из 24/0 как раз получится настроить без проблем
    Если Вы считаете мое решение "костылем" , то Вам надо разбираться с маршрутизатором VPN23 - почему он отказывается пересылать пакет на тот же интерфейс , на который тот пришел .



  • @smp36 что касается второй части проблемы,
    + к этому все как-то странно подвисает при добавлении маршрута руками https запрос в 35 подсеть обрабатывается очень долго...

    я бы рекомендовал

    1. Показать вывод команды ifconfig -m у pfsense
    2. Запустить packet capture на lan или Wan интерфейсе pfsense с записью в файл и выложить этот pcap файл для анализа


  • @smp36
    https://docs.netgate.com/pfsense/en/latest/firewall/troubleshooting-blocked-log-entries-due-to-asymmetric-routing.html

    comp3 -> vpn23 -> pfSense -> ServerEdge
    comp3 <- pfSense <- ServerEdge

    и не важно, что там за брандмауэр на vpn23, любой statefull firewall будет иметь с этой схемой проблемы по природе



  • Default allow LAN to any rule блокировало маршрутизацию. Вопрос закрыт, спасибо за помощь


Log in to reply