NAT из LAN в VPN сеть



  • Здравствуйте.
    Стоит PFSense 2.01. Настроены 2 WAN прова, несколько LAN и VPN сетей.
    Возникла необходимость из локальной сети проверять доступность хостов на удаленной стороне Ipsec VPN сети.
    Т.е. на PFS поднят интерфейс R_VPN с ip 172.50.0.1 (сеть 172.50.0.0/24). На этом интерфейсе настроен Ipsec VPN туннель с удаленной стороной 172.85.12.30 (сеть 172.85.12.0/24). Настроена маршрутизация, файрвол. Внутри 172.50.0.0/24 <–-> 172.85.12.0/24 все работает в обоих направлениях, пинги ходят.
    Как было написано выше, возникла необходимость пинговать с локальной сети 192.168.55.0/24 хост 172.85.12.30 на удаленной стороне. Просто настроить маршрутизацию - это не поможет, т.к. удаленная сторона принимает пакеты только из сети 172.50.0.0/24. Соответственно, как я понимаю, необходимо настроить трансляцию адресов из лок. сети 192.168.55.0/24 в сеть 172.50.0.0/24, т.е. настроить Oubound NAT и прописать необходимые правила файрвола, чтоб не транслировать все пакеты.
    По аналогии настроек NAT с лок. адресов в WAN сделал так.
    Сначала создал правило файрвола во вкладке лок.сети LAN Firewall: Rules:

    ID Proto   Source                    Port   Destination Port Gateway Queue
              ICMP 192.168.55.0/24 * 172.85.12.0/24 * 172.50.0.1 none

    Под это правило попадают icmp-пакеты, которые пошли от источников с ip 192.168.55.0/24 (лок.сеть) в сеть 172.85.12.0/24 через шлюз 172.50.0.1.

    Создал правило NAT во вкладке Firewall: NAT: Outbound для R_VPN

    Interface Source       Source Port Destination Destination Port   NAT Address NAT Port Static Port
      R_VPN        192.168.55.0/24 icmp/*                   *      icmp/*         *     *               NO

    Согласно этому правилу, как я его понимаю, все icmp пакеты от источников с ip 192.168.55.0/24 будут транслироваться в любые сети через интерфейс R_VPN, т.е. 172.50.0.1.

    Пинги не идут. Пробовал прописывать не конкретные правила файрвола, а так сказать с любых источников в любые направления. Все равно не идут. Подскажите, плиз, как мне решить эту задачу.



  • А на интерфейсе R_VPN есть разрешающее правило для destination 192.168.55.0/24 ?



  • Из сети 192.168.55.0/24 адрес  172.50.0.1 виден\пингуется?
    И в правиле NAT-а уберите icmp/* .



  • @nomeron:

    А на интерфейсе R_VPN есть разрешающее правило для destination 192.168.55.0/24 ?

    Указывал разрешающее правило для любых соединений, т.е. везде *.



  • @werter:

    Из сети 192.168.55.0/24 адрес  172.50.0.1 виден\пингуется?
    И в правиле NAT-а уберите icmp/* .

    В том-то и дело, что не виден и не пингуется. А в правилах NAT указывал и с icmp/* и без. Результат тот же.
    Проверю еще раз.



  • 1. Удалите всякую маршрутизацию из ЛАН в ППТП-сеть , если была
    2. Удалите правило(а) НАТ для ППТП , если было(и).
    3. Перезагрузите pf.
    4. В Firewall: Rules : LAN правило (для проверки) :
    TCP LAN net * PPTP clients * * *
    5. Подключаемся пптп-клиентами извне и проверяем пингом их доступность.

    Важно! На пптп-клиентах выключите (временно) всякие фаерволлы (и встроенный тоже ). Иначе icmp-пакеты не пройдут.



  • Извиняюсь заранее, если что-то не понимаю, но причм тут pptp. У меня ВПН-тунель открыт по IPSEC. И моя задача состоит настроить пинги из локальной сети к удаленному концу IPSEC VPN.



  • "e author=sundoom link=topic=53644.msg287151#msg287151 date=1347867737]
    Извиняюсь заранее, если что-то не понимаю, но причм тут pptp. У меня ВПН-тунель открыт по IPSEC. И моя задача состоит настроить пинги из локальной сети к удаленному концу IPSEC VPN.

    Пардон, моя вина.
    На счет ипсека - в VPN: IPsec: Edit Phase 2 явно указываются Local Network и Remote Network. Это и есть маршрутизация. Далее  - только правила в fw (правильно написанные, конечно)
    Вручную ни НАТ и роутинг рисовать не надо. Удалите их, перезапустите туннель , а лучше ребутните машину полностью и проверяйте.



  • @werter:

    Пардон, моя вина.
    На счет ипсека - в VPN: IPsec: Edit Phase 2 явно указываются Local Network и Remote Network. Это и есть маршрутизация. Далее  - только правила в fw (правильно написанные, конечно)
    Вручную ни НАТ и роутинг рисовать не надо. Удалите их, перезапустите туннель , а лучше ребутните машину полностью и проверяйте.

    Дело в том, что нужно именно НАТить в нашу VPN IPsec сеть (сеть 172.50.0.0/24) для того, чтобы пинговать удаленный конец VPN IPsec тунеля. Проблема в том, что данная подсеть для нашего конца VPN IPsec тунеля была выделена удаленной стороной, т. е. они другие сети в свою сторону не пускают кроме 172.50.0.0/24. Поэтому и нужно натить.



  • @sundoom:

    Сначала создал правило файрвола во вкладке лок.сети LAN Firewall: Rules:

    ID Proto    Source                    Port   Destination Port Gateway Queue
               ICMP 192.168.55.0/24 * 172.85.12.0/24 * 172.50.0.1 none

    шлюз (172.50.0.1) указывать не нужно.


Locked