Подскажите про маршрутизацию через VPN
-
Доброго времени суток! Разбираюсь с pfSense 2.0.2, планирую использовать как шлюз + VPN для удалённых клиентов. Конфигурация сети вот какая:
-
WAN - открытый белый IP
-
LAN1 - 172.16.0.0/16 - сеть не имеет доступа к интернету, GW не прописан
-
LAN2 - 192.168.1.0/24 - сеть имеет доступ к интернету, GW - LAN2 интерфейс на pfSense, между LAN1 и LAN2 маршрутизации нет
-
LAN3 - 10.0.0.0/8 - сеть не имеет доступа к интернету, GW не прописан
-
VPN - 192.168.160.0/24 - Tunnel Network для VPN
Создаю OpenVPN, Tunnel Network 192.168.160.0/24, Local Network 10.0.0.0/8 (сеть без интернета, GW нету!). Подсоединяясь, клиент получает ip 192.168.160.6, и маршрут до сети 10.0.0.0/8 через 192.168.160.5 (почему 5, если у pfsense адрес 1?), однако видит только сам сервер 10.0.0.1, хосты в сети не видны. Стал смотреть - на хост, скажем, 10.0.0.2 при попытке пинга приходит ICMP запрос с узла 192.168.160.6, естественно, хост 10.0.0.2 маршрута до такого адреса не знает, и никуда пакетами не кидается. Если прописать маршрут - то всё гут, пинг проходит… но у меня-то условие: чтобы в сетях LAN1 и LAN3 гейта вообще не было!
Ради интереса посмотрел, как бегает тот VPN, который юзаю сейчас, на Zentyal: у него все пакеты от клиента SNAT-тятся, и к хосту в LAN приходят от самого сервака, а не от клиента в VPN-сети. Конечно, в таком случае всё работает как надо... а вот как добиться такого поведения на pfSense?Аналогичная штука и с пробросом портов: все пакеты исходят не от pfSensa, а от узла в WAN-сети, и из сетей LAN1 и LAN3 ответа не приходит, так-как маршут в WAN у них отсутствует.
Кто-нибудь может подсказать, проблема имеет решение с помощью конфигурирования pfSens-а? Я пока что не нашёл настроек для этого...
-
-
В Firewall->NAT->Outbound установите радиобаттон в положение Manual Outbound NAT rule generation, нажмите Save.
+-ом создайте правило:Interface: LAN3
Protocol: any
Source - Type: Network
Source - Address: 192.168.160.0/24
Translation - Address: Interface addressЭто будет аналогом SNAT в Zentyal, хотя не понимаю чем вызвано требование отсутствия gateway в сетях, которые не должны ходить в интернет. Проще обрезать им его на pfSense, а в VPN сеть - пускать, чем делать такие вот неочевидные вещи.
-
Спасибо, попробую. Судя по всему, оно действительно то, что мне нужно.
Требование отсутствие GW - не технического, а административного характера, связано со спецификой работы. Бывает…