Подскажите про маршрутизацию через VPN



  • Доброго времени суток! Разбираюсь с pfSense 2.0.2, планирую использовать как шлюз + VPN для удалённых клиентов. Конфигурация сети вот какая:

    • WAN - открытый белый IP

    • LAN1 - 172.16.0.0/16 - сеть не имеет доступа к интернету, GW не прописан

    • LAN2 - 192.168.1.0/24 - сеть имеет доступ к интернету, GW - LAN2 интерфейс на pfSense, между LAN1 и LAN2 маршрутизации нет

    • LAN3 - 10.0.0.0/8 - сеть не имеет доступа к интернету, GW не прописан

    • VPN - 192.168.160.0/24 - Tunnel Network для VPN

    Создаю OpenVPN, Tunnel Network 192.168.160.0/24, Local Network 10.0.0.0/8 (сеть без интернета, GW нету!). Подсоединяясь, клиент получает ip 192.168.160.6, и маршрут до сети 10.0.0.0/8 через 192.168.160.5 (почему 5, если у pfsense адрес 1?), однако видит только сам сервер 10.0.0.1, хосты в сети не видны. Стал смотреть - на хост, скажем, 10.0.0.2 при попытке пинга приходит ICMP запрос с узла 192.168.160.6, естественно, хост 10.0.0.2 маршрута до такого адреса не знает, и никуда пакетами не кидается. Если прописать маршрут - то всё гут, пинг проходит… но у меня-то условие: чтобы в сетях LAN1 и LAN3 гейта вообще не было!
    Ради интереса посмотрел, как бегает тот VPN, который юзаю сейчас, на Zentyal: у него все пакеты от клиента SNAT-тятся, и к хосту в LAN приходят от самого сервака, а не от клиента в VPN-сети. Конечно, в таком случае всё работает как надо... а вот как добиться такого поведения на pfSense?

    Аналогичная штука и с пробросом портов: все пакеты исходят не от pfSensa, а от узла в WAN-сети, и из сетей LAN1 и LAN3 ответа не приходит, так-как маршут в WAN у них отсутствует.

    Кто-нибудь может подсказать, проблема имеет решение с помощью конфигурирования pfSens-а? Я пока что не нашёл настроек для этого...



  • В Firewall->NAT->Outbound установите радиобаттон в положение Manual Outbound NAT rule generation, нажмите Save.
    +-ом создайте правило:

    Interface: LAN3
    Protocol: any
    Source - Type: Network
    Source - Address: 192.168.160.0/24
    Translation - Address: Interface address

    Это будет аналогом SNAT в Zentyal, хотя не понимаю чем вызвано требование отсутствия gateway в сетях, которые не должны ходить в интернет. Проще обрезать им его на pfSense, а в VPN сеть - пускать, чем делать такие вот неочевидные вещи.



  • Спасибо, попробую. Судя по всему, оно действительно то, что мне нужно.

    Требование отсутствие GW - не технического, а административного характера, связано со спецификой работы. Бывает…


Locked