Доступ к Pfsense на другом конце тоннеля IPSEC
-
Есть 2 pFsense 2.1
В точке А - классический вариант - интерфейс внутри, интерфейс снаружи.
В точке Б - есть только 1 интерфейс, который смотрит наружу с публичным айпи.Необходимо делать мониторинг пфсенса в точке Б. Очевидный вариант - открыть порт/ы на внешнем публичном интерфейсе :)
Хороший вариант - мониторить пфсенс в точке Б через туннель.
Однако в точке Б нет больше адаптеров. Пытался сделать виртуальный айпи на локалхост - нет реакции + на локалхост неясно где фаервол и есть ли он вообще.Как это правильно решить?
-
1. Схему с адресами.
2. Скриншот правил NATа.
3. Скриншот правила fw (LAN, IPSEC) на обоих pfsense. -
Примерно так.
Пользователи опенвпн имеют доступ в ЛАн через туннель от пфсенс В к пфсенс А .
Из ЛАН пользователи на опенвпн пфсенс В тоже видны.Правила IPSEC - allow all any to any на обоих.
NAT - automatic на обоих
LAN на сервере пфсенс - разрешает 192.168.40.0 < - > 192.168.45.0 allЕсли прям вот совсем нужны скриншоты - с утра сделаю на работе.
-
А что мешает сделать доступ на публичный ip ?
Ну сделайте пароль посильнее. Сдвиньне с 80 конфигуратор и ограничте с каких ip можно приходить. Враги не пройдут ;D -
Конечно можно. Можно даже в фаерволле указать что сорц айпи которому можно зайти на порт для мониторинга - только WAN pFsense A …
Но если есть туннель - может лучше все же им воспользоваться? :) -
И , к тому же, хотелось бы получить доступ к вебморде пфсенса Б не через паблик адрес =) хотя это и менее критично.