<![CDATA[Подскажите про маршрутизацию через VPN]]>Доброго времени суток! Разбираюсь с pfSense 2.0.2, планирую использовать как шлюз + VPN для удалённых клиентов. Конфигурация сети вот какая:

  • WAN - открытый белый IP

  • LAN1 - 172.16.0.0/16 - сеть не имеет доступа к интернету, GW не прописан

  • LAN2 - 192.168.1.0/24 - сеть имеет доступ к интернету, GW - LAN2 интерфейс на pfSense, между LAN1 и LAN2 маршрутизации нет

  • LAN3 - 10.0.0.0/8 - сеть не имеет доступа к интернету, GW не прописан

  • VPN - 192.168.160.0/24 - Tunnel Network для VPN

Создаю OpenVPN, Tunnel Network 192.168.160.0/24, Local Network 10.0.0.0/8 (сеть без интернета, GW нету!). Подсоединяясь, клиент получает ip 192.168.160.6, и маршрут до сети 10.0.0.0/8 через 192.168.160.5 (почему 5, если у pfsense адрес 1?), однако видит только сам сервер 10.0.0.1, хосты в сети не видны. Стал смотреть - на хост, скажем, 10.0.0.2 при попытке пинга приходит ICMP запрос с узла 192.168.160.6, естественно, хост 10.0.0.2 маршрута до такого адреса не знает, и никуда пакетами не кидается. Если прописать маршрут - то всё гут, пинг проходит… но у меня-то условие: чтобы в сетях LAN1 и LAN3 гейта вообще не было!
Ради интереса посмотрел, как бегает тот VPN, который юзаю сейчас, на Zentyal: у него все пакеты от клиента SNAT-тятся, и к хосту в LAN приходят от самого сервака, а не от клиента в VPN-сети. Конечно, в таком случае всё работает как надо... а вот как добиться такого поведения на pfSense?

Аналогичная штука и с пробросом портов: все пакеты исходят не от pfSensa, а от узла в WAN-сети, и из сетей LAN1 и LAN3 ответа не приходит, так-как маршут в WAN у них отсутствует.

Кто-нибудь может подсказать, проблема имеет решение с помощью конфигурирования pfSens-а? Я пока что не нашёл настроек для этого...

]]>https://forum.netgate.com/topic/54776/подскажите-про-маршрутизацию-через-vpnRSS for NodeTue, 21 Apr 2026 04:12:18 GMTTue, 02 Apr 2013 09:23:16 GMT60<![CDATA[Reply to Подскажите про маршрутизацию через VPN on Tue, 02 Apr 2013 12:50:06 GMT]]>Спасибо, попробую. Судя по всему, оно действительно то, что мне нужно.

Требование отсутствие GW - не технического, а административного характера, связано со спецификой работы. Бывает…

]]>https://forum.netgate.com/post/387573https://forum.netgate.com/post/387573Tue, 02 Apr 2013 12:50:06 GMT<![CDATA[Reply to Подскажите про маршрутизацию через VPN on Tue, 02 Apr 2013 11:01:16 GMT]]>В Firewall->NAT->Outbound установите радиобаттон в положение Manual Outbound NAT rule generation, нажмите Save.
+-ом создайте правило:

Interface: LAN3
Protocol: any
Source - Type: Network
Source - Address: 192.168.160.0/24
Translation - Address: Interface address

Это будет аналогом SNAT в Zentyal, хотя не понимаю чем вызвано требование отсутствия gateway в сетях, которые не должны ходить в интернет. Проще обрезать им его на pfSense, а в VPN сеть - пускать, чем делать такие вот неочевидные вещи.

]]>https://forum.netgate.com/post/387560https://forum.netgate.com/post/387560Tue, 02 Apr 2013 11:01:16 GMT