Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Подскажите про маршрутизацию через VPN

    Scheduled Pinned Locked Moved Russian
    3 Posts 2 Posters 2.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      Shajtan
      last edited by

      Доброго времени суток! Разбираюсь с pfSense 2.0.2, планирую использовать как шлюз + VPN для удалённых клиентов. Конфигурация сети вот какая:

      • WAN - открытый белый IP

      • LAN1 - 172.16.0.0/16 - сеть не имеет доступа к интернету, GW не прописан

      • LAN2 - 192.168.1.0/24 - сеть имеет доступ к интернету, GW - LAN2 интерфейс на pfSense, между LAN1 и LAN2 маршрутизации нет

      • LAN3 - 10.0.0.0/8 - сеть не имеет доступа к интернету, GW не прописан

      • VPN - 192.168.160.0/24 - Tunnel Network для VPN

      Создаю OpenVPN, Tunnel Network 192.168.160.0/24, Local Network 10.0.0.0/8 (сеть без интернета, GW нету!). Подсоединяясь, клиент получает ip 192.168.160.6, и маршрут до сети 10.0.0.0/8 через 192.168.160.5 (почему 5, если у pfsense адрес 1?), однако видит только сам сервер 10.0.0.1, хосты в сети не видны. Стал смотреть - на хост, скажем, 10.0.0.2 при попытке пинга приходит ICMP запрос с узла 192.168.160.6, естественно, хост 10.0.0.2 маршрута до такого адреса не знает, и никуда пакетами не кидается. Если прописать маршрут - то всё гут, пинг проходит… но у меня-то условие: чтобы в сетях LAN1 и LAN3 гейта вообще не было!
      Ради интереса посмотрел, как бегает тот VPN, который юзаю сейчас, на Zentyal: у него все пакеты от клиента SNAT-тятся, и к хосту в LAN приходят от самого сервака, а не от клиента в VPN-сети. Конечно, в таком случае всё работает как надо... а вот как добиться такого поведения на pfSense?

      Аналогичная штука и с пробросом портов: все пакеты исходят не от pfSensa, а от узла в WAN-сети, и из сетей LAN1 и LAN3 ответа не приходит, так-как маршут в WAN у них отсутствует.

      Кто-нибудь может подсказать, проблема имеет решение с помощью конфигурирования pfSens-а? Я пока что не нашёл настроек для этого...

      1 Reply Last reply Reply Quote 0
      • R
        rubic
        last edited by

        В Firewall->NAT->Outbound установите радиобаттон в положение Manual Outbound NAT rule generation, нажмите Save.
        +-ом создайте правило:

        Interface: LAN3
        Protocol: any
        Source - Type: Network
        Source - Address: 192.168.160.0/24
        Translation - Address: Interface address

        Это будет аналогом SNAT в Zentyal, хотя не понимаю чем вызвано требование отсутствия gateway в сетях, которые не должны ходить в интернет. Проще обрезать им его на pfSense, а в VPN сеть - пускать, чем делать такие вот неочевидные вещи.

        1 Reply Last reply Reply Quote 0
        • S
          Shajtan
          last edited by

          Спасибо, попробую. Судя по всему, оно действительно то, что мне нужно.

          Требование отсутствие GW - не технического, а административного характера, связано со спецификой работы. Бывает…

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.