Не получается создать статический маршру
-
День добрый.
На pfsense 2.1 поднят ipsec туннель, phase 2 protocol ESP. Нужно завернуть статический маршрут в этот туннель, но веб интерфэйс не дает создать шлюз. т.е. в списке выбора интерфэйсов нет ipsec интерфэйса, а без его выбора я не могу указать ip адрес сервера. Есть варианты или только gre over ipsec? -
в списке выбора интерфэйсов нет ipsec интерфэйса
А с какого перепоя он там должен быть? IPSec это криптооператор, говоря языком теоретический физики :D. Он "про шифрование", а не "про связность".
-
Ну так маршруты объявляются указанием своей сети и удаленной на этапе настройки туннеля. Или у вас сервер находится не в удаленной сети (т.е. не входит в диапазон адресов)?
-
в списке выбора интерфэйсов нет ipsec интерфэйса
А с какого перепоя он там должен быть? IPSec это криптооператор, говоря языком теоретический физики :D. Он "про шифрование", а не "про связность".
Это какбы да, но ведь в фаерволе есть вкладка ipsec)
Ну так маршруты объявляются указанием своей сети и удаленной на этапе настройки туннеля. Или у вас сервер находится не в удаленной сети (т.е. не входит в диапазон адресов)?
В удаленном офисе есть 2 подсети, которые одной "подсетью" никак не задать (что то типа этого 192.168.1.0/24 и 10.0.1.0/24).
Я так понял GRE интерфэйс самый простой выбор ?
-
но ведь в фаерволе есть вкладка ipsec
На заборе тоже слово написано, а бабушка в надежде подошла, потрогала, ан нет, сучок.
-
2 gost370
Ваш выбор - OpenVPN. Куда уж более гибкое решение - и маршруты объявить получится и не только.
-
2 gost370
Ваш выбор - OpenVPN. Куда уж более гибкое решение - и маршруты объявить получится и не только.
И я, и я, и я того же мнения. Но на другой стороне dfl-260e, поэтому работаем с чем есть. :(
-
Решение :
https://doc.pfsense.org/index.php/IPsec_with_Multiple_Subnets
Т.е. необходимо создать столько Phase 2 , сколько сетей вам необходимо маршрутизировать.
Есть одно но :-:
If the equipment to which you are connecting does not support multiple Phase 2's, you may need to employ supernetting/CIDR summarization (See below) to fit the networks into a single Phase 2
P.s. http://forum.pfsense.org/index.php?topic=36579.0 :
For true "routing" over IPsec, you'd need to run IPsec in transport mode with a GIF tunnel on top of that and route however you like across the GIF interface
-
Поискав по возможностям вашей железки - оно еще и pptp\l2tp умеет. Или я ошибаюсь?
-
Поискав по возможностям вашей железки - оно еще и pptp\l2tp умеет. Или я ошибаюсь?
Да умеет, но тогда сервером придется делать pf а это не желательно.
-
Да умеет, но тогда сервером придется делать pf
Сделайте сервером dlink, кто же вам мешает.
-
Прошу прощения, но всетаки апну тему.
Все сошлись к смене способа доступа к удаленной сети.
У меня за ipsec есть шлюз, которым хотелось бы воспользоваться.
Шлюз доступен, но как направить через него трафик не пойму. -
Э-э-э, а просто статический маршрут добавить? Трафик - определенный или как default gateway удаленный шлюз использовать ?
-
Как defaul gateway но только для части машин. Немного поясню: выход в инет есть как на стороне локальной сети так и из сети за ipsec. Так вот нужно часть локальных машин выпускать в инет через шлюз удаленной сети.
-
А с настройками удаленного шлюза (за IPSEC) все в порядке ? С правилами fw ,включен ли NAT?
P.s. Попробуйте создать alias с нужными вам адресами "избранных" машин. А в кач-ве gateway указать адрес того самого шлюза (если так возможно, конечно).
-
С удаленным шлюзом все ок.
Я не могу создать правило т.к. gateway не лежит в адресном пространстве локальной сети.
Может возможно при помощи виртуальных ip отобразить удаленный шлюз в локальной сети? -
Хм, хороша задача.
http://xgu.ru/wiki/Proxy_ARP ?
