nat local network to vti interface ip



  • Всем привет прошу помочь. В вопросе построил тунель isec vti c клиентом он выдал мне сетку VTI
    pfsense 2.4.4
    Локальная сеть 192.168.101.0/24
    Мой IP vti 10.255.2.142
    Его IP vti 10.255.2.141
    Партнёр соответсвенно ждёт запросов с IP 10.255.2.142. Если на pfsense и интерфейса vti делаешь пинг или тест портов то всё прекрасно проходит. Но никак не могу понять как его занатить что бы с локальной сети был доступен пинг и телнет на vti 10.255.2.141.
    Пробовал через nat outbound но что-то не получается. Может кто сталкивался с такой задачей прошу помочь.



  • @sergiybt Клиент не знает маршрут в локальную сеть, которая за pfSense. Так что либо прописать на нем маршрут в нее через 10.255.2.141, либо - да, делать outbound nat на интерфейсе vti pfSense. Возможно, для этого придется завести интерфейс vti явно через Interfaces > Assignments



  • Добрый день.
    Интерфейсы они явно заведены, они автоматом создаются при испльзовании VTI, а ты уже вручную их инициализируешь. Вот только не могу понять как правильно теперь NAT сделать.
    dfeff476-e43f-428e-957c-c3e83cbf1695-image.png



  • @sergiybt перевести NAT Outbound в режим Hybrid и добавить правило по аналогии с тем, что для WAN только интерфейс указать vti



  • Сделал но не работает
    3334e607-56be-4d56-8021-d05afd00f324-image.png
    7167f909-ac86-46d5-b5a7-b1639116fbce-image.png



  • @sergiybt Попробуйте перевести NAT в ручной режим.
    И запускайте tcpdump на VTI интерфейсе, чтобы увидеть, что происходит



  • Добрый

    Покажите правила fw на ЛАН и ипсек-интерфейсах.

    Попробуйте явное разреш. правило fw на ЛАН добавить (Src - LAN net, Dst - удаленная сеть) и поставить его выше всех.

    Ps. Пингом проверять - нетолько лишь всё. Применяйте еще и traceroute для диагностики. Но помните, что в никсах трасер работает по udp (дефолт).



  • Вижу @Konstanti - пользую tcpdump )



  • @werter и Вам не хворать)
    Ping не идёт с LAN интерфейса PF.
    Моё мнение, не срабатывает NAT, и пакеты улетают как 192.х.х.х., а вторая сторона про эту сеть не в курсе



  • Для этого и нужен tracert. Он даст понять КУДА уходят пакеты.





  • @sergiybt
    Насколько я вижу, входящий трафик с той стороны есть ( при условии, что у Вас нет других IPSeC туннелей).
    Попробуйте сделать так, как я написал выше



  • @Konstanti Пробовал перевести в ручной режим ничего не меняется.(
    Очень странная ситуация так как и интерфейса VTI пинг проходит и порты открываются.



  • @sergiybt покажите вывод tcpdump на VTI интерфейсе при запущенном ping-е



  • @Konstanti Есть другие тунели но там всё работает прекрасно так как тамвезде тип tunnel



  • @sergiybt Там логика работы туннеля и маршрутизации трафика несколько иная.
    Если не хотите показывать, то сами проверьте при помощи tcpdump, что происходит н а VTI интерфейсе.



  • @Konstanti
    Вот если брать и делать пинг с 10.255.2.142 на 141
    84f02c2d-2dde-4d6c-b225-8e7a4bcd665e-image.png
    Если я пинг делаю с 192.168.101.1 на 141 не проходит
    0a6bb980-0e21-4106-8bdb-fa8001c0a331-image.png , правило нат перевёл вручную ниже
    31993b87-1299-46d3-9960-0c9605774770-image.png



  • Исходящий NAT не работает
    Надо подумать.
    Как вариант, попросить партнёра, чтобы он у себя прописал Вашу 192.х.х.х сеть в таблице маршрутизации



  • @sergiybt можете показать содержимое файла /tmp/rules.debug? То что касается раздела NAT.
    Outbound NAT rules
    Или вывод команды
    pfctl -s nat



  • @sergiybt

    Таблицу марш-ции с пф покажите при поднятом туннеле.

    Очень странная ситуация так как и интерфейса VTI пинг проходит и порты открываются.
    Если я пинг делаю с 192.168.101.1 на 141 не проходит

    И не будет проходить ping. Вы правило fw на ЛАН добавьте, о к-ом я говорил. Только выше всех его вклячьте. И проверьте. Пф же все ваши пакеты сует в дефолтный GW согласно правилу fw на ЛАН. И туннельный gw точно не является дефолтным для пф.

    В вашем случае и интерфейсы явно для ipsec создавать и НАТить, возможно, не надо.

    Зы. У вас пф как ВМ живет? Если да, то чего кошерный virtio не пользуете для сетевых?



  • @werter Добрый.
    Так да виртуальная машина что сделал и чего добился
    1 прописал нат правильный, перевёл нат в ручной режим как везде советуют.
    3ee6e9fb-c9b4-4186-aa1f-6b13656a7f76-image.png
    Дальше пробовал сделать тест порта отрабатывает ли правило NAT и вот что получается, что правило отрабатывает на VTI интерфейсе
    ce302cf8-84e3-48dd-b35c-99278e2adae5-image.png
    Но получается что пакеты не проходят.
    Ещё читал что есть баги в версии 2.4.4 у меня она именно и стоит.
    Вот правила лан
    ac6dd09d-23bc-42a0-85ca-9d6685d724a0-image.png



  • Может где галочку какую надо поставить ума не приложу.



  • @sergiybt

    Так. Давайте разбираться.
    Вы открыли только TCP в правиле для туннеля и пытаетесь пользовать ping (ICMP) для проверки доступности? Откройте всё (на время). И проверяйте.

    Зы. Переведите НАТ в Авто. Не трогайте вы его.



  • @werter Уже и так и сяк пробовал и как только не пробовал. Вы не подумайте я немного соображаю и пересмотрел кучу видео но он не взлетает.



  • @sergiybt
    Отписал в чат.



  • @sergiybt Если пинги идут , а tcp не работает
    и у Вас виртуальная ам - отключайте расчет контрольных сумм tcp пакетов адаптером (пусть этим ядро занимается )
    то что Вы показали (вывод tcpdump ) говорит о том , что SYN пакеты идут , а ответа нет ( NAT Outbound работает ) - самая вероятная причина - это неверная контрольная сумма tcp пакета (опять же , при условии , что второй участник соединения открыл порт 10080 для соединения)
    покажите вывод команды
    ifconfig -m


Log in to reply