nat local network to vti interface ip
-
Всем привет прошу помочь. В вопросе построил тунель isec vti c клиентом он выдал мне сетку VTI
pfsense 2.4.4
Локальная сеть 192.168.101.0/24
Мой IP vti 10.255.2.142
Его IP vti 10.255.2.141
Партнёр соответсвенно ждёт запросов с IP 10.255.2.142. Если на pfsense и интерфейса vti делаешь пинг или тест портов то всё прекрасно проходит. Но никак не могу понять как его занатить что бы с локальной сети был доступен пинг и телнет на vti 10.255.2.141.
Пробовал через nat outbound но что-то не получается. Может кто сталкивался с такой задачей прошу помочь. -
@sergiybt Клиент не знает маршрут в локальную сеть, которая за pfSense. Так что либо прописать на нем маршрут в нее через 10.255.2.141, либо - да, делать outbound nat на интерфейсе vti pfSense. Возможно, для этого придется завести интерфейс vti явно через Interfaces > Assignments
-
Добрый день.
Интерфейсы они явно заведены, они автоматом создаются при испльзовании VTI, а ты уже вручную их инициализируешь. Вот только не могу понять как правильно теперь NAT сделать.
-
@sergiybt перевести NAT Outbound в режим Hybrid и добавить правило по аналогии с тем, что для WAN только интерфейс указать vti
-
Сделал но не работает
-
@sergiybt Попробуйте перевести NAT в ручной режим.
И запускайте tcpdump на VTI интерфейсе, чтобы увидеть, что происходит -
Добрый
Покажите правила fw на ЛАН и ипсек-интерфейсах.
Попробуйте явное разреш. правило fw на ЛАН добавить (Src - LAN net, Dst - удаленная сеть) и поставить его выше всех.
Ps. Пингом проверять - нетолько лишь всё. Применяйте еще и traceroute для диагностики. Но помните, что в никсах трасер работает по udp (дефолт).
-
Вижу @Konstanti - пользую tcpdump )
-
@werter и Вам не хворать)
Ping не идёт с LAN интерфейса PF.
Моё мнение, не срабатывает NAT, и пакеты улетают как 192.х.х.х., а вторая сторона про эту сеть не в курсе -
Для этого и нужен tracert. Он даст понять КУДА уходят пакеты.
-
-
@sergiybt
Насколько я вижу, входящий трафик с той стороны есть ( при условии, что у Вас нет других IPSeC туннелей).
Попробуйте сделать так, как я написал выше -
@Konstanti Пробовал перевести в ручной режим ничего не меняется.(
Очень странная ситуация так как и интерфейса VTI пинг проходит и порты открываются. -
@sergiybt покажите вывод tcpdump на VTI интерфейсе при запущенном ping-е
-
@Konstanti Есть другие тунели но там всё работает прекрасно так как тамвезде тип tunnel
-
@sergiybt Там логика работы туннеля и маршрутизации трафика несколько иная.
Если не хотите показывать, то сами проверьте при помощи tcpdump, что происходит н а VTI интерфейсе. -
@Konstanti
Вот если брать и делать пинг с 10.255.2.142 на 141
Если я пинг делаю с 192.168.101.1 на 141 не проходит
, правило нат перевёл вручную ниже
-
Исходящий NAT не работает
Надо подумать.
Как вариант, попросить партнёра, чтобы он у себя прописал Вашу 192.х.х.х сеть в таблице маршрутизации -
@sergiybt можете показать содержимое файла /tmp/rules.debug? То что касается раздела NAT.
Outbound NAT rules
Или вывод команды
pfctl -s nat -
Таблицу марш-ции с пф покажите при поднятом туннеле.
Очень странная ситуация так как и интерфейса VTI пинг проходит и порты открываются.
Если я пинг делаю с 192.168.101.1 на 141 не проходитИ не будет проходить ping. Вы правило fw на ЛАН добавьте, о к-ом я говорил. Только выше всех его вклячьте. И проверьте. Пф же все ваши пакеты сует в дефолтный GW согласно правилу fw на ЛАН. И туннельный gw точно не является дефолтным для пф.
В вашем случае и интерфейсы явно для ipsec создавать и НАТить, возможно, не надо.
Зы. У вас пф как ВМ живет? Если да, то чего кошерный virtio не пользуете для сетевых?
