IpSec, локальная сеть. [РЕШЕНО]
-
Есть два офиса.
офис 1: 192.168.1.0.24 Шлюз Pfsense 1.2.2
офис 2: 192.168.147.0.24 Шлюз Pfsense 1.2.3 RСам туннель поднялся (в статусе светит зелёная стрелка) и пинги ходят - пинговал с ПК с IP 192.168.147.100 192.168.1.254 (Lan PfSense из офиса 1).
Мне нужно, чтобы офис 2 видел принтеры офиса 1. т.е.
ПК 192.168.147.100 увидел принтер 192.168.1.109 - он его пинговать может, но шару не видит.В файерах специально на время тестирования ставил правила в
лан " * lan net * * * * "
во вкладке ipsec разрешил icmp, dns, 137, 138, 139
Есть ли трабл, что маршруты нужные не добавил?, тогда почему удалённая сеть пингуется?
В чём может быть проблема? -
разреши все и погляди, если нет значит в другом дело////
-
TCP и UDP 445 разреши.
-
-
Вобщем почитал pfsense book, делал правила, маршруты. Всё равно какой то затык. Пингуется всё. Открывается админка pfsense на другой стороне, телнетился сетевой принтер и я его даже подключил и распечатать смог по ipsec сети. Нужный мне комп только пингуется, нужные порты по телнету недоступны. трасерт идёт.
Версии сенсов 1.2.2 и 1.2.3 для ipsec разница, что в 1.2.2 нет раздела DPD поля.
У кого работает, выложите скрины или краткий ман? спасибо.
-
По IPSec-у думается нужно разрешить все. Какой смысл разрешать отдельные порты между локалками и потом гадать почему протоколы микрософта не работают..
-
По IPSec-у думается нужно разрешить все. Какой смысл разрешать отдельные порты между локалками и потом гадать почему протоколы микрософта не работают..
Это я телнетил несколько портов, а разрешал всё.
lan net = 192.168.147.0/24
192.168.1.0/24 удалённая локалка
-
Нужный мне комп только пингуется, нужные порты по телнету недоступны. трасерт идёт.
tcpdump на LAN, к которому комп подключен, поможет.
-
А со звездочками не работает тоже?
IPSec TCP/UDP * * * * *
LAN TCP/UDP from LAN to 192.168.1.0/24
LAN TCP/UDP from 192.168.1.0/24 to LAN -
А со звездочками не работает тоже?
IPSec TCP/UDP * * * * *
LAN TCP/UDP from LAN to 192.168.1.0/24
LAN TCP/UDP from 192.168.1.0/24 to LANК сожалению тоже, не работает. Меня удивляет, почему открылась админка другого сенса (через его локальный ip) + доступен сетевой принтер (опять же из другой подсети), т.е. он как-то частично что ли работает.
В разделе Лан разрешал нужные порты, потом там же ставил первое правило, разрешающее всё. В ван снял галки блок bogon networks, поставил галку bybass traffic… -
По netbios имени из другой подсети может и не достучаться. попробуйте зайти на шары компов по ip адресам.
-
По netbios имени из другой подсети может и не достучаться. попробуйте зайти на шары компов по ip адресам.
я по ip заходил, т.к. по dns они не разрешались
дословно: пуск-выполнить \192.168.1.109
Ещё проверял шару из той же самой сети, всё открывается. Компы не в домене, политику никакую не применяют. -
Ну тогда TcpDump
-
Ну тогда TcpDump
Это на днях, т.к. сегодня комп благополучно выключен, а завтра инета не будет.
Вопрос только есть, слушать с сенса или с проблемного компа? И какие ключи дампа порекомендуете?
-
Ну тогда TcpDump
Это на днях, т.к. сегодня комп благополучно выключен, а завтра инета не будет.
Вопрос только есть, слушать с сенса или с проблемного компа? И какие ключи дампа порекомендуете?
Лучше на сенсе для начала. Никаких особых ключей не надо
tcpdump -ni <имя интерфейса> host <ip хоста="">Запусти одновременно на обоих pf, сравним потом.</ip> -
Скрин роутера офиса
PfSense 192.168.1.254 (ver 1.2.2)
-
Скрин роутера бухгалтерии
Pfsense 192.168.147.1 (ver 1.2.3 R)
-
Dasti, сделайте алиас на порты. Замучаетесь же правила редактировать при малейшем изменении сети.
-
Dasti, сделайте алиас на порты. Замучаетесь же правила редактировать при малейшем изменении сети.
"Век живи - век учись", чем и стараюсь заниматься. За фишку спасибо, как то внимания на альиас для портов не обратил.
-
Вопрос ещё актуален, прошу волшебного пинка в нужную сторону.