Доступ к Pfsense на другом конце тоннеля IPSEC


  • Есть 2 pFsense 2.1
    В точке А - классический вариант - интерфейс внутри, интерфейс снаружи.
    В точке Б - есть только 1 интерфейс, который смотрит наружу с публичным айпи.

    Необходимо делать мониторинг пфсенса в точке Б. Очевидный вариант - открыть порт/ы на внешнем публичном интерфейсе :)
    Хороший вариант - мониторить пфсенс в точке Б через туннель.
    Однако в точке Б нет больше адаптеров. Пытался сделать виртуальный айпи на локалхост - нет реакции + на локалхост неясно где фаервол и есть ли он вообще.

    Как это правильно решить?


  • 1. Схему с адресами.
    2. Скриншот правил NATа.
    3. Скриншот правила fw (LAN, IPSEC) на обоих pfsense.


  • Примерно так.
    Пользователи опенвпн имеют доступ в ЛАн через туннель от пфсенс В к пфсенс А .
    Из ЛАН пользователи на опенвпн пфсенс В тоже видны.

    Правила IPSEC - allow all any to any на обоих.
    NAT - automatic на обоих
    LAN на сервере пфсенс - разрешает 192.168.40.0 < - > 192.168.45.0 all

    Если прям вот совсем нужны скриншоты - с утра сделаю на работе.


  • А что мешает сделать доступ на публичный ip ?
    Ну сделайте пароль посильнее. Сдвиньне с 80 конфигуратор и ограничте с каких ip можно приходить. Враги не пройдут  ;D


  • Конечно можно. Можно даже в фаерволле указать что сорц айпи которому можно зайти на порт для мониторинга - только WAN pFsense A …
    Но если есть туннель - может лучше все же им воспользоваться? :)


  • И , к тому же, хотелось бы получить доступ  к вебморде пфсенса Б не через паблик адрес =) хотя это и менее критично.