Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPsec маршрутизация между 3 сетей

    Scheduled Pinned Locked Moved Russian
    ipsecpfsensenatnat ipsecroutiing
    29 Posts 3 Posters 3.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Konstanti @operator2024
      last edited by Konstanti

      @operator2024

      Я Вам чуть выше показал средство для проверки трафика из консоли
      Tcpdump и enc0 интерфейс
      Начните со шлюза А - уходит ли трафик в направлении С
      Далее смотрите то же самое на шлюзе B
      Потом на шлюзе С
      и будет понятно , где проблема

      кстати , мб проще сразу сделать туннель между А и С напрямую ?

      operator2024O 2 Replies Last reply Reply Quote 0
      • operator2024O
        operator2024 @Konstanti
        last edited by operator2024

        @konstanti спасибо, проблема оказалась в правилах блокировки на А и С.
        Сейчас всё подцепилось как нужно.

        @konstanti я тоже об этом подумал. Так будет проще.
        Просто изначально я думал можно через NAT (как я описывал выше) сделать и поэтому не рассматривал прямой туннель между А и С

        K 1 Reply Last reply Reply Quote 0
        • operator2024O
          operator2024 @Konstanti
          last edited by

          This post is deleted!
          1 Reply Last reply Reply Quote 0
          • K
            Konstanti @operator2024
            last edited by

            @operator2024
            ICMP и TCP - разные протоколы
            Возможно , что Вы разрешили только прохождение tcp трафика на нужном порту , а остальное блокируете

            operator2024O 1 Reply Last reply Reply Quote 0
            • operator2024O
              operator2024 @Konstanti
              last edited by

              @konstanti понимаю это, так и было. За 4 дня уже голова слабо соображает. Правило было только для ТСP трафика, сейчас исправил и заработало.

              Напрямую кстати туннель можно сделать, но управлять не очень удобно будет.
              Если нужно что-то разрешить или запретить. Особенно когда на всех подобных устройствах конфиг одинаковый. Устройства А и С это конечные устройства, а B что-то вроде шлюза в офисе, куда весь трафик идет.

              K 1 Reply Last reply Reply Quote 0
              • K
                Konstanti @operator2024
                last edited by

                @operator2024
                Да , решение в виде "топология звезда" - более правильное в плане администрирования всей системы в целом . НО !!!

                Если упадет любой из туннелей
                A-B
                или
                B-C - то связи A-C не будет

                operator2024O 1 Reply Last reply Reply Quote 0
                • operator2024O
                  operator2024 @Konstanti
                  last edited by

                  @konstanti да, но в данном случае это неважно.
                  Почему я изначально не хотел делать доп.фазы для такой задачи. Сама задача одному юзеру нужен доступ в удаленную сетку, на определенный ip для получения одного файлика.
                  Он коннектится, забирает файл и всё.
                  Файл мелкий, если дропнится туннель, он через время подымится и юзер файл заберет заново.

                  werterW 1 Reply Last reply Reply Quote 0
                  • werterW
                    werter @operator2024
                    last edited by werter

                    @operator2024

                    Сама задача одному юзеру нужен доступ в удаленную сетку, на определенный ip для получения одного файлика.

                    Простой портфорвардинг или впн на С решил бы это (при наличие белого ip).

                    Зы. Если захочется чего-то "особенного", то можно поднять ipsec + ospf - с А до С и с А до В (В и С и так связаны).
                    Тогда при падении одного из линков связь с А до С останется.

                    operator2024O 1 Reply Last reply Reply Quote 0
                    • operator2024O
                      operator2024 @werter
                      last edited by

                      @werter OSPF - это уже лишнее в данной ситуации. Вопрос этот я решил через дополнительную фазу 2

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.