Маршрутизация, pfsense НЕ шлюз по умолчанию



  • Привет. Подскажите в чем проблема может быть.

    Есть главный офис (ГО) и офис удаленный (УО). В главном офисе у пользователей шлюзом по умолчанию выступает шлюз на базе керио, так же в этой сети есть pfsense с отдельным внешним IP. В офисе удаленном, шлюзом по умолчанию является pfsense.
    Между этими pfsense поднят ipsec  туннель.

    В ГО есть машина А с дефолтным гейтвеем равным офисному шлюзу, на офисном шлюзе прописан маршрут в сеть УО через pfsense ГО, и есть машина Б в УО.

    Проблема в том, что с машины Б я не могу заходить на машину А, пока с машины А не запущу пинг или трейсерт или просто рдп, в общем любой траффик до машины Б. Если на машине А я прописываю маршрут в сеть УО - все хорошо: с машины Б могу попадать на машину А и наоборот  без каких либо предварительных пингов и т.д. Что делаю не так?  ???




  • Думаю есть смысл привести структуру сети в порядок.



  • Приветствую dvserg, а если подробней
    Ведь проблема кроется где то рядом



  • Добавил схему..  ???



  • Оставить в сети один гейтвей и на нем делать нужную маршрутизацию. В данном случае можно попробовать шлюзом сделать pfsense, А керио повесить на OPT интерфейс и весь трафик не относящийся к УО перенаправить на керио. Таким образом убирается лишний узел на пути  А-В. Для интернет трафика проход через доп узел (pfsense-kerio-inet) будет не критичен.



  • Хотелось бы избежать изменения шлюза на всех пользовательских машинах. Керио должен оставаться перед пользователями в любом случае. Да и еще моделировал ситуацию, заменял шлюз керио на пфсенсе - ситуацию не меняет. Т.е как на таковой Керио Винроут грешить думаю не стоит..



  • А pfSense воткнут в локальный свич? Или подключен к 3 интерфейсу на керио ?



  • Воткнут в свитч



  • @chillivilli:

    Воткнут в свитч

    Сделайте 3 интерфейс на керио и подключите к нему pfSense. Думаю проблема будет решена.



  • 3-й интерфейс должен быть в другой подсети?



  • @chillivilli:

    3-й интерфейс должен быть в другой подсети?

    Да, и шлюзом на 3 интерфейсе Д/Б pfSense. Тогда он будет знать что делать с приходящими пакетами.



  • Да, спасибо, действительно это помогло. По крайней мере в виртуальной среде, к вечеру смогу на боевой системе настроить…

    Еще возникает вопрос,  каким образом можно завернуть весь траффик из УО в туннель, чтобы пользователи УО выходили в Интернет через шлюз ГО.



  • @chillivilli:

    Да, спасибо, действительно это помогло. По крайней мере в виртуальной среде, к вечеру смогу на боевой системе настроить…

    Еще возникает вопрос,  каким образом можно завернуть весь траффик из УО в туннель, чтобы пользователи УО выходили в Интернет через шлюз ГО.

    Стоит смотреть на опцию redirect-gateway в OpenVPN. У меня подобная схема работает, в ГО pfSense, а вот в УО голая FreeBSD (планируем мигрировать на pfSense).



  • у нас туннель на базе ipsec



  • никак тогда.


Log in to reply