Маршрутизация OpenVPN, IPsec и между туннелями



  • Схема сети на рисунке
    PC1 может подключаться к server1 и server2
    PC2 может подключаться к server1
    PC3 может подключаться к server1
    PC4 может подключаться к server1
    PC1 видит PC2, PC3, PC4
    PC2 видит сеть 192.168.72.0 и больше ничего.
    PC3 видит 192.168.72.0 и больше ничего.
    PC4 видит 192.168.72.0 и больше ничего.

    Как сделать чтобы PC2 мог видеть PC3 и PC4 и server2
    PC4 мог видеть PC2, PC3, server2

    Помогите пожалуйста!
    Много потов по этому поводу, но не смог разобраться.
    Заранее спасибо!



  • Как сделать чтобы PC2 мог видеть PC3 и PC4 и server2

    Создать на Zywall (.23.1) еще phase 2 , где в local  - его localnet, в remote - 10.62.202.0/24

    Создать на Zywall (.23.1) еще phase 2 , где в local  - его localnet, в remote - сеть PC4

    Создать на Zywall (.23.1) еще phase 2 , где в local  - его localnet, в remote - сеть server2

    PC4 мог видеть PC2, PC3, server2

    Аналогично, только для PC4.

    Пробуйте, могу ошибаться. И да, в правилах fw на IPSEC поставьте - разрешено все и всем (временно).



  • В нем нет возможности создавать еще один Phase-2, он его просто не будет использовать.
    Маршруты на нем рисовал, но я так понимаю pfsense их рубит.



  • Pf их не рубит - https://forum.pfsense.org/index.php?topic=62769.0

    When you create a Ipsec tunnel the route will automattically be added to your routing table

    Или вместо Зиволлов ставьте пф\микротик\что-то на Linux. По-другому - никак.



  • 2 MiroN
    ZyWall'ы везде одинаковые? Модели черканите.



  • Был я уже в такой ситуации, елси не ошибаюсь(Zywall'а уже под рукой нет), то лучше поднимать Gif интерфейс и нормально в него маршрутизировать трафик(Zywall это умеет, объединял пару локалок, с одной эта тупая железяка, с другой правда FreeBSD 9). Просто обычными маршрутами. Только вот я не подумал как IPSec приделать ко всему этому. Можно попробовать в режиме транспорта шифровать весь трафик между pfsense и zywal, но нет уверенности что взлетит. В общем если тема еще актуальна пишите, придумать всегда что-то можно и с тем что есть.