Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPsec маршрутизация между 3 сетей

    Scheduled Pinned Locked Moved Russian
    ipsecpfsensenatnat ipsecroutiing
    29 Posts 3 Posters 4.9k Views 2 Watching
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • operator2024O Offline
      operator2024 @Konstanti
      last edited by

      @konstanti на шлюзах А и С получается нужно добавить доп. интерфейс, чтобы трафик увидел маршрут через что ходить или всё должно заработать без дополнительного интерфейса.
      Я под интерфейсом имею ввиду на А нужно добавить ip из сети 111, а на С из сети 88

      K 1 Reply Last reply Reply Quote 0
      • K Offline
        Konstanti @operator2024
        last edited by Konstanti

        @operator2024

        Я Вам чуть выше показал средство для проверки трафика из консоли
        Tcpdump и enc0 интерфейс
        Начните со шлюза А - уходит ли трафик в направлении С
        Далее смотрите то же самое на шлюзе B
        Потом на шлюзе С
        и будет понятно , где проблема

        кстати , мб проще сразу сделать туннель между А и С напрямую ?

        operator2024O 2 Replies Last reply Reply Quote 0
        • operator2024O Offline
          operator2024 @Konstanti
          last edited by operator2024

          @konstanti спасибо, проблема оказалась в правилах блокировки на А и С.
          Сейчас всё подцепилось как нужно.

          @konstanti я тоже об этом подумал. Так будет проще.
          Просто изначально я думал можно через NAT (как я описывал выше) сделать и поэтому не рассматривал прямой туннель между А и С

          K 1 Reply Last reply Reply Quote 0
          • operator2024O Offline
            operator2024 @Konstanti
            last edited by

            This post is deleted!
            1 Reply Last reply Reply Quote 0
            • K Offline
              Konstanti @operator2024
              last edited by

              @operator2024
              ICMP и TCP - разные протоколы
              Возможно , что Вы разрешили только прохождение tcp трафика на нужном порту , а остальное блокируете

              operator2024O 1 Reply Last reply Reply Quote 0
              • operator2024O Offline
                operator2024 @Konstanti
                last edited by

                @konstanti понимаю это, так и было. За 4 дня уже голова слабо соображает. Правило было только для ТСP трафика, сейчас исправил и заработало.

                Напрямую кстати туннель можно сделать, но управлять не очень удобно будет.
                Если нужно что-то разрешить или запретить. Особенно когда на всех подобных устройствах конфиг одинаковый. Устройства А и С это конечные устройства, а B что-то вроде шлюза в офисе, куда весь трафик идет.

                K 1 Reply Last reply Reply Quote 0
                • K Offline
                  Konstanti @operator2024
                  last edited by

                  @operator2024
                  Да , решение в виде "топология звезда" - более правильное в плане администрирования всей системы в целом . НО !!!

                  Если упадет любой из туннелей
                  A-B
                  или
                  B-C - то связи A-C не будет

                  operator2024O 1 Reply Last reply Reply Quote 0
                  • operator2024O Offline
                    operator2024 @Konstanti
                    last edited by

                    @konstanti да, но в данном случае это неважно.
                    Почему я изначально не хотел делать доп.фазы для такой задачи. Сама задача одному юзеру нужен доступ в удаленную сетку, на определенный ip для получения одного файлика.
                    Он коннектится, забирает файл и всё.
                    Файл мелкий, если дропнится туннель, он через время подымится и юзер файл заберет заново.

                    werterW 1 Reply Last reply Reply Quote 0
                    • werterW Offline
                      werter @operator2024
                      last edited by werter

                      @operator2024

                      Сама задача одному юзеру нужен доступ в удаленную сетку, на определенный ip для получения одного файлика.

                      Простой портфорвардинг или впн на С решил бы это (при наличие белого ip).

                      Зы. Если захочется чего-то "особенного", то можно поднять ipsec + ospf - с А до С и с А до В (В и С и так связаны).
                      Тогда при падении одного из линков связь с А до С останется.

                      operator2024O 1 Reply Last reply Reply Quote 0
                      • operator2024O Offline
                        operator2024 @werter
                        last edited by

                        @werter OSPF - это уже лишнее в данной ситуации. Вопрос этот я решил через дополнительную фазу 2

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.