Маршрут в удаленную подсеть через PPTP туннел

garald50

Какие маршруты нужно прописать в pf, чтобы из 192.168.0.0/24 была доступна 192.168.111.0/24?

забыл подписать, роутер слева это pf

zar0ku1

не понятно что за 172.26.62.5
192.168.2.192
192.168.111.1
какой айпи адрес получает впн клиент?
и покажи

netstat -rn с pfsense

garald50

@zar0ku1:

не понятно что за 172.26.62.5
192.168.2.192
192.168.111.1
какой айпи адрес получает впн клиент?
и покажи
netstat -rn с pfsense

172.26.62.5 - адрес vpn сервера
192.168.2.192 - адрес vpn клиента
192.168.111.1 - адрес хоста в сети 192.168.111.0/24 на котором установлено vpn соединение

Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 10.128.0.1 UGS 0 19300 ng0
10.16.32.173 lo0 UHS 0 0 lo0
10.128.0.1 10.16.32.173 UH 1 0 ng0
127.0.0.1 127.0.0.1 UH 0 520 lo0
172.16.0.0/12 172.26.62.1 UGS 0 1513 rl1
172.26.62.0/24 link#3 UC 0 0 rl1
172.26.62.1 00:04:80:2b:98:00 UHLW 2 45 rl1 667
172.26.62.5 lo0 UHS 0 0 lo0
192.168.0.0/24 link#2 UC 0 0 rl0
192.168.0.1 00:04:23:b8:27:e2 UHLW 1 1464 rl0 1189
192.168.0.2 00:15:17:2f:a0:2c UHLW 1 6 rl0 1180
192.168.0.3 00:19:21:86:f8:a6 UHLW 1 16 rl0 958
192.168.0.4 00:18:f3:a0:95:26 UHLW 1 1157 rl0 784
192.168.0.5 00:80:48:5b:3d:bd UHLW 1 358 rl0 1059
192.168.0.8 00:21:97:8a:ee:f6 UHLW 1 1251 rl0 1158
192.168.0.11 00:80:48:19:7a:33 UHLW 1 10 rl0 1161
192.168.0.12 00:15:58:3e:a0:43 UHLW 1 12 rl0 1196
192.168.0.13 00:14:85:c9:90:b5 UHLW 1 11 rl0 961
192.168.0.14 00:1e:90:d0:2e:8f UHLW 1 12 rl0 955
192.168.0.15 00:01:6c:36:4a:db UHLW 1 11 rl0 956
192.168.0.20 00:80:48:1a:bb:a0 UHLW 1 67 rl0 658
192.168.0.21 00:1e:8c:9f:be:2d UHLW 1 11 rl0 959
192.168.0.22 00:1e:8c:9f:bd:11 UHLW 1 10 rl0 989
192.168.0.23 00:15:58:3e:a0:46 UHLW 1 12 rl0 961
192.168.0.24 00:80:48:1a:f3:8e UHLW 1 10 rl0 1191
192.168.0.25 00:15:58:05:30:83 UHLW 1 12 rl0 1196
192.168.0.26 00:1e:8c:9f:bc:45 UHLW 1 11 rl0 984
192.168.0.27 00:0c:76:8c:f0:13 UHLW 1 1 rl0 1118
192.168.0.28 00:17:31:59:f9:91 UHLW 1 13 rl0 957
192.168.0.29 00:11:09:03:75:39 UHLW 1 10 rl0 956
192.168.0.30 00:15:58:11:02:51 UHLW 1 0 rl0 309
192.168.0.31 00:15:58:64:af:9c UHLW 1 27 rl0 956
192.168.0.33 00:80:48:5e:3d:81 UHLW 1 12 rl0 1024
192.168.0.35 00:1f:d0:1b:91:10 UHLW 1 12 rl0 1009
192.168.0.36 00:23:54:1d:78:a4 UHLW 1 1 rl0 1004
192.168.0.37 00:16:e6:44:59:c8 UHLW 1 10 rl0 1106
192.168.0.40 00:24:1d:99:42:52 UHLW 1 5 rl0 479
192.168.0.41 00:80:48:1a:f9:d4 UHLW 1 12 rl0 968
192.168.0.43 00:15:f2:68:f1:3b UHLW 1 12 rl0 955
192.168.0.45 00:1b:fc:dc:85:52 UHLW 1 8221 rl0 958
192.168.0.47 00:15:58:3e:a0:44 UHLW 1 11 rl0 966
192.168.0.48 00:24:1d:9c:7a:ab UHLW 1 10 rl0 956
192.168.0.49 00:0d:87:77:88:1d UHLW 1 35 rl0 1157
192.168.0.50 00:19:21:86:f6:08 UHLW 1 108 rl0 949
192.168.0.51 00:13:d4:1c:2a:07 UHLW 1 387 rl0 1016
192.168.0.56 00:11:5b:96:fd:57 UHLW 1 740 rl0 811
192.168.0.57 00:0c:76:cc:a9:9a UHLW 1 5 rl0 1112
192.168.0.61 00:0c:76:ce:8c:e0 UHLW 1 1 rl0 882
192.168.0.70 00:11:5b:77:93:24 UHLW 1 4 rl0 657
192.168.0.73 00:24:1d:99:72:0a UHLW 1 12 rl0 952
192.168.0.75 00:18:f3:0a:d9:42 UHLW 1 695 rl0 953
192.168.0.78 00:19:21:34:cb:72 UHLW 1 1 rl0 1199
192.168.0.83 00:1d:7d:a8:7a:5c UHLW 1 74 rl0 1198
192.168.0.84 00:1a:4d:3a:a1:8e UHLW 1 0 rl0 942
192.168.0.87 00:21:97:87:ab:19 UHLW 1 2804 rl0 1037
192.168.0.88 00:1e:8c:9f:be:35 UHLW 1 10 rl0 373
192.168.0.92 00:24:1d:9d:3b:23 UHLW 1 204 rl0 869
192.168.0.93 00:1e:8c:9f:be:3e UHLW 1 14 rl0 982
192.168.0.96 00:1e:8c:9f:be:25 UHLW 1 2 rl0 551
192.168.0.101 00:1f:d0:6d:ae:ad UHLW 1 10 rl0 851
192.168.0.106 00:21:97:8a:ec:cd UHLW 1 6210 rl0 943
192.168.0.125 00:80:48:19:20:4f UHLW 1 1011 rl0 1141
192.168.0.150 00:80:48:1a:c3:3c UHLW 1 159 rl0 1162
192.168.0.198 00:01:6c:d0:8e:ce UHLW 1 2331 rl0 1010
192.168.0.233 00:1e:8c:9f:bd:76 UHLW 1 10 rl0 966
192.168.0.249 00:17:31:65:9f:7c UHLW 1 181 rl0 950
192.168.0.250 00:15:58:64:af:9a UHLW 1 192 rl0 953
192.168.1.0/24 192.168.2.194 UGS 0 5 ng1
192.168.2.193 172.26.62.5 UH 1 905 ng2
192.168.2.194 172.26.62.5 UH 1 666 ng1
192.168.10.0/24 192.168.2.193 UGS 0 0 ng2

Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UHL lo0
fe80::%rl0/64 link#2 UC rl0
fe80::280:48ff:fe61:3ed0%rl0 00:80:48:61:3e:d0 UHL lo0
fe80::%rl1/64 link#3 UC rl1
fe80::280:48ff:fe19:7a24%rl1 00:80:48:19:7a:24 UHL lo0
fe80::%lo0/64 fe80::1%lo0 U lo0
fe80::1%lo0 link#4 UHL lo0
fe80::%ng0/64 link#8 UC ng0
fe80::224:1dff:fe3c:637a%ng0 link#8 UHL lo0
fe80::%ng1/64 link#9 UC ng1
fe80::224:1dff:fe3c:637a%ng1 link#9 UHL lo0
fe80::%ng2/64 link#10 UC ng2
fe80::224:1dff:fe3c:637a%ng2 link#10 UHL lo0
ff01:2::/32 link#2 UC rl0
ff01:3::/32 link#3 UC rl1
ff01:4::/32 ::1 UC lo0
ff01:8::/32 link#8 UC ng0
ff01:9::/32 link#9 UC ng1
ff01:/32 link#10 UC ng2
ff02::%rl0/32 link#2 UC rl0
ff02::%rl1/32 link#3 UC rl1
ff02::%lo0/32 ::1 UC lo0
ff02::%ng0/32 link#8 UC ng0
ff02::%ng1/32 link#9 UC ng1
ff02::%ng2/32 link#10 UC ng2

l2grom

Блин, ребята, неужели до сих пор не умеете строить маршруты, это в школах перепадают 9-11 класс.
Ну во первых, покажи скрин wan, lan. в общем конфигурации твоего pfsense. =192.168= это уже хороо, когда строишь сеть, старайся строить ее правельно, ведь во всем должна быть логика.

Маршрутов тебе кстати прописывать не каких не надо, при правельной конфигурации и настройке фаервола все должно работать.

garald50

@l2grom:

Ну во первых, покажи скрин wan, lan. в общем конфигурации твоего pfsense.
Маршрутов тебе кстати прописывать не каких не надо, при правельной конфигурации и настройке фаервола все должно работать.

WAN:

LAN:

OPT1:

VPN PPTP:

VPN: PPTP: Users:

System: Static Routes:

Не работает.

Маршрутов тебе кстати прописывать не каких не надо, при правельной конфигурации и настройке фаервола все должно работать.

А как правильно? Было бы здорово без маршрутов.

garald50

@l2grom:

Маршрутов тебе кстати прописывать не каких не надо, при правельной конфигурации и настройке фаервола все должно работать.

Кто-нибудь, утолите любопытство, как сделать без маршрутов?

Eugene

@garald50:

@l2grom:

Маршрутов тебе кстати прописывать не каких не надо, при правельной конфигурации и настройке фаервола все должно работать.

Кто-нибудь, утолите любопытство, как сделать без маршрутов?

Да не кто-нибудь, а l2grom и утолит. Терпение, только терпение.

garald50

ап
:-\

Eugene

1.Зачем интерфес OPT1?
2. DIR320 работает в качестве VPN клиента или машины, сидящие в 192.168.111.0/24?

garald50

@Eugene:

1.Зачем интерфес OPT1?

Для реализации режима работы роутера pfSense в режиме Russian Dual Access.
config.xml:


 <interfaces><lan><if>rl0</if>
			<ipaddr>192.168.0.16</ipaddr>
			<subnet>24</subnet>
			 <media><mediaopt><bandwidth>100</bandwidth>
			<bandwidthtype>Mb</bandwidthtype></mediaopt></media></lan> 
		 <wan><ipaddr>pptp</ipaddr></wan> 
        <opt1><descr>CityLAN</descr>
            <if>rl1</if>
            <enable><ipaddr>172.26.62.5</ipaddr>
            <subnet>24</subnet>
            <gateway>172.26.62.1</gateway>
            <spoofmac></spoofmac></enable></opt1></interfaces> 
..........
        <pptp><username>xxxxxx</username>
		<password>xxxxxx</password>
		<local>172.26.62.5</local>
		<subnet>24</subnet>
		<remote>172.22.0.254</remote></pptp>

@Eugene:

2. DIR320 работает в качестве VPN клиента или машины, сидящие в 192.168.111.0/24?

Dir320 - VPN-клиент

Eugene

Предполагаем, что для 192.168.0.1 default gateway есть 192.168.0.16, а для 192.168.111.2 default gateway есть 192.168.111.1.
Что если добавить на левом pfSense маршрут (предполагаем, что pfSense-VPN-Client всегда получает 192.168.2.192)
route add -net 192.168.111.0/24 192.168.2.192
После команды пожалуйста ifconfig и netstat -rn

garald50

Конфигурация немного изменена. Теперь слева подсеть 192.168.10.0/24 со шлюзом 192.168.10.10 и PPTP-клиент для pfSense 192.168.2.193. Но это сути дела не меняет. Вот результаты команд.

ifconfig

re0: flags=8802 <broadcast,simplex,multicast>metric 0 mtu 1500
options=389b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_ucast,wol_mcast,wol_magic>ether 00:24:1d:3c:63:7a
media: Ethernet autoselect (10baseT/UTP <half-duplex>)
status: no carrier
rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=8 <vlan_mtu>ether 00:80:48:61:3e:d0
inet 192.168.0.16 netmask 0xffffff00 broadcast 192.168.0.255
inet6 fe80::280:48ff:fe61:3ed0%rl0 prefixlen 64 scopeid 0x2
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl1: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=8 <vlan_mtu>ether 00:80:48:19:7a:24
inet 172.26.62.5 netmask 0xffffff00 broadcast 172.26.62.255
inet6 fe80::280:48ff:fe19:7a24%rl1 prefixlen 64 scopeid 0x3
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
enc0: flags=0<> metric 0 mtu 1536
pfsync0: flags=41 <up,running>metric 0 mtu 1460
pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
pflog0: flags=100 <promisc>metric 0 mtu 33204
ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1500
inet 10.16.32.173 –> 10.128.0.1 netmask 0xffffffff
inet6 fe80::224:1dff:fe3c:637a%ng0 prefixlen 64 scopeid 0x8
ng1: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1396
inet 172.26.62.5 --> 192.168.2.194 netmask 0xffffffff
inet6 fe80::224:1dff:fe3c:637a%ng1 prefixlen 64 scopeid 0x9
ng2: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
inet6 fe80::224:1dff:fe3c:637a%ng2 prefixlen 64 scopeid 0xa
ng3: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1396
inet6 fe80::224:1dff:fe3c:637a%ng3 prefixlen 64 scopeid 0xb
inet 172.26.62.5 --> 192.168.2.193 netmask 0xffffffff
ng4: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng5: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng6: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng7: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng8: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng9: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng10: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng11: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng12: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng13: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng14: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng15: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng16: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500

netstat -rn

Routing tables

Internet:
Destination Gateway Flags Refs Use Netif Expire
default 10.128.0.1 UGS 0 7118399 ng0
10.16.32.173 lo0 UHS 0 0 lo0
10.128.0.1 10.16.32.173 UH 1 0 ng0
127.0.0.1 127.0.0.1 UH 0 1255349 lo0
172.16.0.0/12 172.26.62.1 UGS 0 799414 rl1
172.26.62.0/24 link#3 UC 0 0 rl1
172.26.62.1 00:04:80:2b:98:00 UHLW 2 65 rl1 392
192.168.0.0/24 link#2 UC 0 0 rl0
192.168.0.1 00:04:23:b8:27:e2 UHLW 1 1409634 rl0 1177
192.168.0.2 00:15:17:2f:a0:2c UHLW 1 367 rl0 1123
192.168.0.4 00:18:f3:a0:95:26 UHLW 1 4896 rl0 805
192.168.0.5 00:80:48:5b:3d:bd UHLW 1 6 rl0 899
192.168.0.8 00:21:97:8a:ee:f6 UHLW 1 44250 rl0 937
192.168.0.13 00:14:85:c9:90:b5 UHLW 1 114 rl0 627
192.168.0.15 00:01:6c:36:4a:db UHLW 1 41255 rl0 698
192.168.0.16 00:80:48:61:3e:d0 UHLW 1 71158 lo0
192.168.0.21 00:1e:8c:9f:be:2d UHLW 1 104 rl0 863
192.168.0.22 00:1e:8c:9f:bd:11 UHLW 1 109 rl0 957
192.168.0.24 00:80:48:1a:f3:8e UHLW 1 143 rl0 611
192.168.0.25 00:15:58:05:30:83 UHLW 1 124 rl0 1127
192.168.0.26 00:1e:8c:9f:bc:45 UHLW 1 122 rl0 1072
192.168.0.28 00:17:31:59:f9:91 UHLW 1 139 rl0 136
192.168.0.29 00:11:09:03:75:39 UHLW 1 620 rl0 1137
192.168.0.30 00:15:58:11:02:51 UHLW 1 1 rl0 571
192.168.0.31 00:15:58:64:af:9c UHLW 1 75 rl0 676
192.168.0.37 00:16:e6:44:59:c8 UHLW 1 145 rl0 1199
192.168.0.41 00:80:48:1a:f9:d4 UHLW 1 2626 rl0 1015
192.168.0.45 00:1b:fc:dc:85:52 UHLW 1 892151 rl0 1177
192.168.0.47 00:15:58:3e:a0:44 UHLW 1 101 rl0 729
192.168.0.48 00:24:1d:9c:7a:ab UHLW 1 98 rl0 738
192.168.0.50 00:19:21:86:f6:08 UHLW 1 1084 rl0 1079
192.168.0.51 00:13:d4:1c:2a:07 UHLW 1 5736 rl0 908
192.168.0.70 00:11:5b:77:93:24 UHLW 1 39 rl0 1073
192.168.0.73 00:24:1d:99:72:0a UHLW 1 82 rl0 604
192.168.0.74 00:24:1d:9c:7a:ad UHLW 1 3 rl0 403
192.168.0.75 00:18:f3:0a:d9:42 UHLW 1 2109 rl0 981
192.168.0.83 00:1d:7d:a8:7a:5c UHLW 1 3924 rl0 996
192.168.0.106 00:21:97:8a:ec:cd UHLW 1 54555 rl0 605
192.168.0.109 00:d0:68:00:e0:78 UHLW 1 2063 rl0 213
192.168.0.125 00:80:48:19:20:4f UHLW 1 11757 rl0 1117
192.168.0.127 00:19:21:86:f8:a6 UHLW 1 13752 rl0 133
192.168.0.150 00:80:48:1a:c3:3c UHLW 1 1687 rl0 1195
192.168.0.198 00:01:6c:d0:8e:ce UHLW 1 24007 rl0 632
192.168.0.220 00:c0:9f:a9:9b:a0 UHLW 1 2 rl0 1071
192.168.0.249 00:17:31:65:9f:7c UHLW 1 304 rl0 1129
192.168.0.250 00:15:58:64:af:9a UHLW 1 161 rl0 964
192.168.1.0/24 192.168.2.194 UGS 0 3817 ng1
192.168.2.193 172.26.62.5 UH 1 8835 ng3
192.168.2.194 172.26.62.5 UH 1 152311 ng1
192.168.10.0/24 192.168.2.193 UGS 0 0 ng3

Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UHL lo0
fe80::%rl0/64 link#2 UC rl0
fe80::280:48ff:fe61:3ed0%rl0 00:80:48:61:3e:d0 UHL lo0
fe80::%rl1/64 link#3 UC rl1
fe80::280:48ff:fe19:7a24%rl1 00:80:48:19:7a:24 UHL lo0
fe80::%lo0/64 fe80::1%lo0 U lo0
fe80::1%lo0 link#4 UHL lo0
fe80::%ng0/64 link#8 UC ng0
fe80::224:1dff:fe3c:637a%ng0 link#8 UHL lo0
fe80::%ng1/64 link#9 UC ng1
fe80::224:1dff:fe3c:637a%ng1 link#9 UHL lo0
fe80::%ng2/64 link#10 UC ng2
fe80::224:1dff:fe3c:637a%ng2 link#10 UHL lo0
fe80::%ng3/64 link#11 UC ng3
fe80::224:1dff:fe3c:637a%ng3 link#11 UHL lo0
ff01:2::/32 link#2 UC rl0
ff01:3::/32 link#3 UC rl1
ff01:4::/32 ::1 UC lo0
ff01:8::/32 link#8 UC ng0
ff01:9::/32 link#9 UC ng1
ff01:/32 link#10 UC ng2
ff01:/32 link#11 UC ng3
ff02::%rl0/32 link#2 UC rl0
ff02::%rl1/32 link#3 UC rl1
ff02::%lo0/32 ::1 UC lo0
ff02::%ng0/32 link#8 UC ng0
ff02::%ng1/32 link#9 UC ng1
ff02::%ng2/32 link#10 UC ng2
ff02::%ng3/32 link#11 UC ng3
#</pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></up,pointopoint,running,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></up,pointopoint,running,noarp,simplex,multicast></up,pointopoint,running,noarp,simplex,multicast></promisc></up,running></up,loopback,running,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast></half-duplex></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum,wol_ucast,wol_mcast,wol_magic></broadcast,simplex,multicast>

Eugene

Это лог с какого pfSense? Что-то запутался, может обновишь диаграмку?

garald50

pfSense только один, слева.

Eugene

Уже лучше.
Какие правила на rl0? Трафик с 192.168.0.0.24 на 192.168.10.0.24 должен быть разрешён.
Если пингуешь 192.168.2.193 с 192.168.0.1 пинг есть?
Если пингуешь 192.168.10.11 с 192.168.0.1 пинга я подозреваю нет.
Теперь вопросы:

netstat -rn c 192.168.10.11
Существует ли возможность трассировать пакеты на DIR320 (типа dcpdump)? есть ли там правила для интерфейса созданного PPTP-подключением?