2 шлюза
-
Такая ситуация. Есть филиалы, подключены по IPSec, в офисе на шлюзе стоит PFSense. Помимо всего прочего в филиалах стоят IP телефоны которые по созданным каналам VPN подключены к АТС в офисе. При подключении нового филиала пришлось его подключать через другого провайдера, поэтому поставили для него отдельный шлюз (PFSense). проблема в том что на АТС нельзя указать два шлюза, либо прописать маршрут до нового филиала. как сделать что бы новый шлюз трафик с IP телефона передавал на первый шлюз тот в АТС и потом обратно?
-
Я правильно понял - два шлюза в одной локалке? Тогда стоит использовать NAT, чтобы ATC видела отправителем этих пакетов LAN PFSense.
-
Да, в одной локалке. Я понимаю что NAT, а как - не знаю. Если не сложно - можно пример?
-
Да, в одной локалке. Я понимаю что NAT, а как - не знаю. Если не сложно - можно пример?
Тогда, думаю, стоит начать с изучения азов системы. Почитайте форум, PFSense Docs, FAQ - там много примеров как настроить NAT.
-
не понятно какой interface указывать - WAN.. LAN..? Ходит то через IPSec. в логах указан интерфейс ENC0
-
не понятно какой interface указывать - WAN.. LAN..? Ходит то через IPSec. в логах указан интерфейс ENC0
Так как пакеты идут из-вне в локалку, то Nat делать на LAN интерфейсе. Это своего рода обратный NAT в локалку.
Source указывать подсеть удаленного филиала (либо any), а Destination IP адрес ATC.
Source port = пусто
Destination port и протокол - разберитесь с используемым телефонией протоколом/портами сами. -
Так как пакеты идут из-вне в локалку, то Nat делать на LAN интерфейсе. Это своего рода обратный NAT в локалку.
Если не путаю, то тут есть пример ната на ЛАН.
Firewall > NAT > Outbound
http://www.thin.kiev.ua/index.php?option=com_content&view=article&id=456:222&catid=50:pfsense&Itemid=81
-
так я и сделал. оттуда заработало. звонки идут, я их слышу. а они меня нет, и дозвониться не могу. прописал на первом шлюзе статический маршрут до телефона через второй шлюз, пинги с компа, настроенного аналогично атс проходят, а атс не хочет. может проблема в том что она не понимает почему звонит на один айпи, а ответ получает с другого, с PFSense.
-
У вас соединение может инициировать любая сторона, так что NAT тут не подходит. Все должно решаться роутингом. Зачем было заводить второй pfSense, когда и на первом можно сделать два WAN интерфейса? Если вам так уж нужно именно два роутера, то придется их соединить отдельным шнурком в обход LAN.
-
не могу на первом сделать два WAN. там подключение по каналу VPN только и выхода на интернет нет. А если я туда заведу интернет, то придется постоянно следить что бы кто то из админов себе инет не пробросил. А ко второму PFSense доступ только у меня. видимо придется третий роутер ставить между АТС и локалкой, ну только не PFSense, а какую нибудь железку попроще.