маршрутизация LAN -- DMZ
-
прошу помощи, с Pfsense не работал, первая установка. Задача: использование Pfsense в качестве брандмауэра между двумя частными подсетями. Проблема: с серверов vpn все работает, с компов из обеих подсетей - нет. Трассировка зависает на интерфейсе сервера vpn 23 из 23 подсети, в которую и подключена Pfsense внутренним адаптером https://c.radikal.ru/c13/1904/f9/948d750549bd.jpg
-
@smp36 какой тип VPN используется?
Подозреваю, что openvpn
Покажите настройки
И правила на lan и VPN интерфейсах
Причин может быть много
И маршрутизация и неверно настроенный файрвол -
с VPN нет проблем, все работает. Из 23 подсети в 35 подсеть работает маршрутизация только с сервера vpn 23. С Comp 3 не работает, хотя как видно из схемы он подключен также к 23 подсети. Из 24 подсети в 35 подсеть работает маршрутизация только с сервера vpn 24. С Comp 1 не работает
-
С Comp 1 маршрутизация работает в 23 подсеть и наоборот с С Comp 3 работает маршрутизация в 24 подсеть.
-
@smp36 Настройки нужны
1 Lan, Wan правила PFSense
2 Lan правила , настройки VPN ( какой тип VPN используете так и неясно) VPN23
3 Lan правила , настройки VPN ( какой тип VPN используете так и неясно) VPN24
4 Какой шлюз по умолчанию у сети 23/0 ???По поводу 23/0->35/0 думаю , что проблема в том , что у хостов 23/0 надо прописать "ручками" маршрут до 35/0
-
Lan, Wan правила PFSense - по дефолту, про VPN пока забудем, разберемся для начала с 23 подсетью.
-
@smp36
Покажите правила WAN интерфейса PFSense
И какой шлюз по умолчанию у хостов 23/0 ? -
На WAN по дефолту нет правил, я никакие правила не добавлял. С VPN 23 работает и без правила на WAN, шлюз у клиентов 23 подсети VPN 23, на нем настроен маршрутизатор.
-
@smp36
По поводу 23/0->35/0 думаю , что проблема в том , что у хостов 23/0 надо прописать "ручками" маршрут до 35/0Маршрут 23.x->VPN23->PFSENSE->35.x - скорее всего работать не будет
Маршрут 23.x->PFSense->35.x - будет работать -
так и есть
-
Но такое решение -"костыль", маршрут в 35 подсеть прописан в маршрутизаторе VPN 23 и в качестве шлюза указан PFsense. Получается из 24 подсети я не смогу настроить маршрутизацию, + к этому все как-то странно подвисает при добавлении маршрута руками https запрос в 35 подсеть обрабатывается очень долго... Добавил правило в WAN всем-все с ip на ip - ничего не изменилось.
-
@smp36 Из 24/0 как раз получится настроить без проблем
Если Вы считаете мое решение "костылем" , то Вам надо разбираться с маршрутизатором VPN23 - почему он отказывается пересылать пакет на тот же интерфейс , на который тот пришел . -
@smp36 что касается второй части проблемы,
+ к этому все как-то странно подвисает при добавлении маршрута руками https запрос в 35 подсеть обрабатывается очень долго...я бы рекомендовал
- Показать вывод команды ifconfig -m у pfsense
- Запустить packet capture на lan или Wan интерфейсе pfsense с записью в файл и выложить этот pcap файл для анализа
-
@smp36
https://docs.netgate.com/pfsense/en/latest/firewall/troubleshooting-blocked-log-entries-due-to-asymmetric-routing.htmlcomp3 -> vpn23 -> pfSense -> ServerEdge
comp3 <- pfSense <- ServerEdgeи не важно, что там за брандмауэр на vpn23, любой statefull firewall будет иметь с этой схемой проблемы по природе
-
Default allow LAN to any rule блокировало маршрутизацию. Вопрос закрыт, спасибо за помощь