Не получается создать статический маршру



  • День добрый.
    На pfsense 2.1 поднят ipsec туннель, phase 2 protocol ESP. Нужно завернуть статический маршрут в этот туннель, но веб интерфэйс не дает создать шлюз. т.е. в списке выбора интерфэйсов нет ipsec интерфэйса, а без его выбора я не могу указать ip адрес сервера. Есть варианты или только gre over ipsec?



  • в списке выбора интерфэйсов нет ipsec интерфэйса

    А с какого перепоя он там должен быть? IPSec это криптооператор, говоря языком теоретический физики  :D. Он "про шифрование", а не "про связность".



  • Ну так маршруты объявляются указанием своей сети и удаленной на этапе настройки туннеля. Или у вас сервер находится не в удаленной сети (т.е. не входит в диапазон адресов)?



  • @aleksvolgin:

    в списке выбора интерфэйсов нет ipsec интерфэйса

    А с какого перепоя он там должен быть? IPSec это криптооператор, говоря языком теоретический физики  :D. Он "про шифрование", а не "про связность".

    Это какбы да, но ведь в фаерволе есть вкладка ipsec)

    @werter:

    Ну так маршруты объявляются указанием своей сети и удаленной на этапе настройки туннеля. Или у вас сервер находится не в удаленной сети (т.е. не входит в диапазон адресов)?

    В удаленном офисе есть 2 подсети, которые одной "подсетью" никак не задать (что то типа этого 192.168.1.0/24 и 10.0.1.0/24).

    Я так понял GRE интерфэйс самый простой выбор ?



  • но ведь в фаерволе есть вкладка ipsec

    На заборе тоже слово написано, а бабушка в надежде подошла, потрогала, ан нет, сучок.



  • 2 gost370

    Ваш выбор - OpenVPN.  Куда уж более гибкое решение - и маршруты объявить получится и не только.



  • @werter:

    2 gost370

    Ваш выбор - OpenVPN.  Куда уж более гибкое решение - и маршруты объявить получится и не только.

    И я, и я, и я того же мнения. Но на другой стороне dfl-260e, поэтому работаем с чем есть. :(



  • Решение :

    https://doc.pfsense.org/index.php/IPsec_with_Multiple_Subnets

    Т.е. необходимо создать столько Phase 2 , сколько сетей вам необходимо маршрутизировать.

    Есть одно но  :-:

    If the equipment to which you are connecting does not support multiple Phase 2's, you may need to employ supernetting/CIDR summarization (See below) to fit the networks into a single Phase 2

    P.s. http://forum.pfsense.org/index.php?topic=36579.0 :

    For true "routing" over IPsec, you'd need to run IPsec in transport mode with a GIF tunnel on top of that and route however you like across the GIF interface



  • Поискав по возможностям вашей железки - оно еще и pptp\l2tp умеет. Или я ошибаюсь?



  • @werter:

    Поискав по возможностям вашей железки - оно еще и pptp\l2tp умеет. Или я ошибаюсь?

    Да умеет, но тогда сервером придется делать pf а это не желательно.



  • Да умеет, но тогда сервером придется делать pf

    Сделайте сервером dlink, кто же вам мешает.



  • Прошу прощения, но всетаки апну тему.

    Все сошлись к смене способа доступа к удаленной сети.
    У меня за ipsec есть шлюз, которым хотелось бы воспользоваться.
    Шлюз доступен, но как направить через него трафик не пойму.



  • Э-э-э, а просто статический маршрут добавить? Трафик - определенный или как default gateway удаленный шлюз использовать ?



  • Как defaul gateway но только для части машин. Немного поясню: выход в инет есть как на стороне локальной сети так и из сети за ipsec. Так вот нужно часть локальных машин выпускать в инет через шлюз удаленной сети.



  • А с настройками удаленного шлюза (за IPSEC) все в порядке ? С правилами fw ,включен ли NAT?

    P.s. Попробуйте создать alias с нужными вам адресами "избранных" машин. А в кач-ве gateway указать адрес того самого шлюза (если так возможно, конечно).



  • С удаленным шлюзом все ок.
    Я не могу создать правило т.к. gateway не лежит в адресном пространстве локальной сети.
    Может возможно при помощи виртуальных ip отобразить удаленный шлюз в локальной сети?



  • Хм, хороша задача.

    http://xgu.ru/wiki/Proxy_ARP ?