Маршрутизация, pfsense НЕ шлюз по умолчанию
-
Привет. Подскажите в чем проблема может быть.
Есть главный офис (ГО) и офис удаленный (УО). В главном офисе у пользователей шлюзом по умолчанию выступает шлюз на базе керио, так же в этой сети есть pfsense с отдельным внешним IP. В офисе удаленном, шлюзом по умолчанию является pfsense.
Между этими pfsense поднят ipsec туннель.В ГО есть машина А с дефолтным гейтвеем равным офисному шлюзу, на офисном шлюзе прописан маршрут в сеть УО через pfsense ГО, и есть машина Б в УО.
Проблема в том, что с машины Б я не могу заходить на машину А, пока с машины А не запущу пинг или трейсерт или просто рдп, в общем любой траффик до машины Б. Если на машине А я прописываю маршрут в сеть УО - все хорошо: с машины Б могу попадать на машину А и наоборот без каких либо предварительных пингов и т.д. Что делаю не так? ???
-
Думаю есть смысл привести структуру сети в порядок.
-
Приветствую dvserg, а если подробней
Ведь проблема кроется где то рядом -
Добавил схему.. ???
-
Оставить в сети один гейтвей и на нем делать нужную маршрутизацию. В данном случае можно попробовать шлюзом сделать pfsense, А керио повесить на OPT интерфейс и весь трафик не относящийся к УО перенаправить на керио. Таким образом убирается лишний узел на пути А-В. Для интернет трафика проход через доп узел (pfsense-kerio-inet) будет не критичен.
-
Хотелось бы избежать изменения шлюза на всех пользовательских машинах. Керио должен оставаться перед пользователями в любом случае. Да и еще моделировал ситуацию, заменял шлюз керио на пфсенсе - ситуацию не меняет. Т.е как на таковой Керио Винроут грешить думаю не стоит..
-
А pfSense воткнут в локальный свич? Или подключен к 3 интерфейсу на керио ?
-
Воткнут в свитч
-
Воткнут в свитч
Сделайте 3 интерфейс на керио и подключите к нему pfSense. Думаю проблема будет решена.
-
3-й интерфейс должен быть в другой подсети?
-
3-й интерфейс должен быть в другой подсети?
Да, и шлюзом на 3 интерфейсе Д/Б pfSense. Тогда он будет знать что делать с приходящими пакетами.
-
Да, спасибо, действительно это помогло. По крайней мере в виртуальной среде, к вечеру смогу на боевой системе настроить…
Еще возникает вопрос, каким образом можно завернуть весь траффик из УО в туннель, чтобы пользователи УО выходили в Интернет через шлюз ГО.
-
Да, спасибо, действительно это помогло. По крайней мере в виртуальной среде, к вечеру смогу на боевой системе настроить…
Еще возникает вопрос, каким образом можно завернуть весь траффик из УО в туннель, чтобы пользователи УО выходили в Интернет через шлюз ГО.
Стоит смотреть на опцию redirect-gateway в OpenVPN. У меня подобная схема работает, в ГО pfSense, а вот в УО голая FreeBSD (планируем мигрировать на pfSense).
-
у нас туннель на базе ipsec
-
никак тогда.
