Маршрутизация через IPSec



  • Можно ли на PfSense реализовать следующую схему:

    scheme.png

    Подсеть 10.88.88.0/24 принимает трафик только с подсети 10.1.1.0/24. Как сделать так, чтобы из подсети 10.2.2.0/24 можно было попадать в подсеть 10.88.88.0/24? Трафик из подсети 10.2.2.0/24 должен каким-то образом NAT'иться адресом LAN интерфейса подсети 10.1.1.0/24.



  • @Юрий здр.
    Можно. Но связь будет односторонней.
    Т е ( доступ будет из 2.0 к 88.0 , в обратную сторону нет)
    Со стороны 1.0 создаёте дополнительную фазу 2,в которой
    local 10.2.2.0/24
    remote 10.88.88.0/24
    nat/binat network 10.1.1.0/24
    (или можно выбрать любой хост из сети 10.1.1.0)

    5a05af4a-1146-4186-a265-4a2f56b7c546-image.png



  • @Юрий через openvpn можно, ipsec не пробовал.



  • @Konstanti благодарю за ответ!

    Настроил, работает, но только если в nat/binat указать network 10.1.1.0/24. Если же в nat/binat указать один адрес (например 10.1.1.254), то не соединяется, а в states показывает, что соединение идёт напрямую (без NAT) 10.2.2.1:2 -> 10.88.88.181:2.



  • Добрый.

    @Юрий
    А не получится ли так, что пользуя NAT с 10.2.2.0/24 для доступа к 10.88.88.0/24 Вы закладываете себе же "бомбу" тем, что если кто-то из 10.2.2.0/24 "накосячит" в 10.88.88.0/24, то не будет возможности определить, кто же это сделал (для 10.2.2.0/24 "светиться" в 10.88.88.0/24 будут адреса из 10.1.1.0/24).
    Под таким углом не смотрели?



  • @werter Да, Вы правы, это неверное решение. Буду искать другой способ.



  • @Юрий
    А чего искать-то? В чем проблема, чтобы клиенты "светили" родными локальными ip в удаленной сети?
    У вас же так и получалось сперва. Или вы в тихУю хотите доступ организовать?


Log in to reply