Объединение 2х разных локалок



  • Нужна помощь по настройке такого велосипеда:

    Есть 2 сети: 10.0.0.0/8 и 192.168.0.0/24
    Нужно их объединить так, чтобы машины с адресами 192.168.х.х могли ходить в сеть 10.х.х.х
    По сути так сейчас и есть, только сделано децентрализованно: на каждом ПК, которому нужен доступ в обе сети прописывался второй шлюз и второй IP, дальше трафик, который шёл в 10.0.0.0/8 заруливался статическими маршрутами на каждом(!) пк на шлюз 10.x.x.1, по умолчанию шлюз стоял 192.168.0.1

    Хочется, чтобы траф заруливался централизованно, только не знаю как это сделать на pfSense. Для реализации есть, собственно, шлюз на pfSense с 3мя интерфейсами: WAN (сюда приходит линк провайдера), LAN 192.168.0.1 (разруливает сетью 192.168.0.0/24) и OPT1 10.х.х.90 (хочется, чтобы через него уходил трафик в 10.0.0.0/8 сеть).

    На данный момент в Status-Gateways видно, что шлюз 10.х.х.1 offline
    В routes маршрут в 10.0.0.0/8 сеть прописан
    Пробовал сделать мост между LAN и OPT1, тогда появляется пинг c pfSense до 10.х.х.1 шлюза, однако за ним ничего не пингуется, также шлюз не пингуется из 192.168.0.0/24 сети. Вроде, так должно бы работать (в виндах же работало как-то), но, чую, неправильно это.
    Firewall на OPT1 отключен правилом, разрешающим всё и отовсюду. В логах pf не видно, чтобы что-то идущее в 10 сеть было заблокировано



  • 1. Нарисуйте схему сети
    2. Скриншоты правил на интерфейсах LAN/OPT

    Картинки крепить к посту в Attachments …



  • Красным отмечен статический маршрут, который прописан на каждом из ПК. Синим отмечено то, что хотелось бы получить (связь между сетями на шлюзе и отказ от маршрутов на каждом пк).

    Меня даже пока не особо интересует почему мост не работал. Мне бы знать как лучше организовать такое объединение. Погуглил ещё на эту тему. Говорят, VPN между OPT и LAN - хорошая идея.

    VipnetCoordinator: это мой шлюз в сеть 10.0.0.0. Важно лишь то, что если указать координатор шлюзом для сети 10.0.0.0, то доступ в эту сеть будет работать.

    Juniper SRX: Раньше там были заняты 2 порта. Один к координатору, второй к Juniper EX. Теперь добавился третий-к моему шлюзу. Все порты сконфигурированы одинаково.

    Juniper EX - работает как обычный свитч.

    Петлю увидел, завтра попробую убрать один кабель, но вопрос о том как лучше организовать объединение сетей по-прежнему актуален

    ![????? ????.png](/public/imported_attachments/1/????? ????.png)
    ![????? ????.png_thumb](/public/imported_attachments/1/????? ????.png_thumb)





  • Не вдаваясь в Ваши настройки Juniper:
    На каждом компьютере, подключенном на интерфейсе OPT шлюзом должен быть прописан IP адрес интерфейса OPT
    На каждом компьютере, подключенном на интерфейсе LANT шлюзом должен быть прописан IP адрес интерфейса LAN

    Правила на каждом из интерфейсов по идее должны быть стандартными. Роутинг подсетей интерфейсов обеспечивается автоматически.

    Не понятны Ваши подключения Juniper между собой. Физически подсети LAN и OPT обычно разделены между собой и сообщаются только через pfSense.

    UPD:

    VipnetCoordinator: это мой шлюз в сеть 10.0.0.0. Важно лишь то, что если указать координатор шлюзом для сети 10.0.0.0, то доступ в эту сеть будет работать.

    ОК, вроде понял - координатор это следующий маршрутизатор. для сети 10.0.0.0/8. С одним НО - у Вас пересекаются по маске подсеть координатора и подсеть OPT (10.x.x.90).

    На VipnetCoordinator должен быть прописан маршрут до 192.168.0.0 (координатор - шлюз для 10.0.0.0).
    На pfSense должен быть прописан маршрут до 10.0.0.0 со шлюзом = VipnetCoordinator (ip адрес интерфейса VipnetCoordinator, обращенного к pfSense)
    На интерфейсе OPT pfSense должно быть разрешающее правило для сети 10.0.0.0

    UPD2:
    Не понятно что за подсеть VipnetCoordinator - Juniper SRX и что за роль у последнего устройства.



  • @dvserg:

    Не вдаваясь в Ваши настройки Juniper:
    На каждом компьютере, подключенном на интерфейсе OPT шлюзом должен быть прописан IP адрес интерфейса OPT

    Сложновато будет. Это только в моей подсети 50+ ПК. А там дальше ещё идут VLANы в другие подсети. По большому счету не важно что происходит в сети 10.0.0.0: её не я настраивал и к большинству сетевого оборудования у меня доступов нет. Та сеть по-умолчанию работает, если к ней прописан маршрут из 192.168.0.0

    @dvserg:

    Не понятны Ваши подключения Juniper между собой. Физически подсети LAN и OPT обычно разделены между собой и сообщаются только через pfSense.

    На данный момент у меня обе сети объединены через свитч. Получается, что каждый комп в моей сети видит оба шлюза и с обоими может работать.
    Juniper SRX-роутер, в который приходит линк с координатора и уходит в Juniper EX, который, в свою очередь, работает как обычный свитч.

    Координатор принимает в себя провод провайдера (у провайдера VLAN между моими зданиями и другими учреждениями, которые также находятся в сети 10.0.0.0), шифрует трафик на выходе и дешифрует на входе.

    UPD:

    ОК, вроде понял - координатор это следующий маршрутизатор. для сети 10.0.0.0/8. С одним НО - у Вас пересекаются по маске подсеть координатора и подсеть OPT (10.x.x.90).

    Тут поподробнее, пожалуйста. Что значит "пересекаются по маске" и чем это чревато.

    На VipnetCoordinator должен быть прописан маршрут до 192.168.0.0 (координатор - шлюз для 10.0.0.0).

    Вот это упустил.



  • А почему нельзя организовать связь между сетями средствами Juniper SRX и настроить всю маршрутизацию между ними там? А на pfSense кидать обращения в интернет, тогда не понадобится 3 интерфейс и схема сети станет корректнее.

    ОК, вроде понял - координатор это следующий маршрутизатор. для сети 10.0.0.0/8. С одним НО - у Вас пересекаются по маске подсеть координатора и подсеть OPT (10.x.x.90).
    Тут поподробнее, пожалуйста. Что значит "пересекаются по маске" и чем это чревато.

    Пересекаются - это значит, что 10.0.0.0/8 включает в себя 10.x.x.90 и чревато это проблемами маршрутизации.



  • @dvserg:

    А почему нельзя организовать связь между сетями средствами Juniper SRX и настроить всю маршрутизацию между ними там? А на pfSense кидать обращения в интернет, тогда не понадобится 3 интерфейс и схема сети станет корректнее.

    Можно и на juniper сделать… Только вот для меня это пока тёмный лес. Может, подскажете где мануал толковый взять, чтобы получить т.н. "матчасть", от которой можно будет уже углубляться в настройки?

    Т.е. чтобы организовать то, что Вы мне предлагаете мне нужно сделать juniper шлюзом по умолчанию(присвоив ему сразу IP 192.168.0.1) и прописать маршрут такого плана !10.0.0.0=>192.168.0.2(этот ип я присвою тогда машине с pfSense на борту). Всё верно?



  • @xoma922:

    @dvserg:

    А почему нельзя организовать связь между сетями средствами Juniper SRX и настроить всю маршрутизацию между ними там? А на pfSense кидать обращения в интернет, тогда не понадобится 3 интерфейс и схема сети станет корректнее.

    Можно и на juniper сделать… Только вот для меня это пока тёмный лес. Может, подскажете где мануал толковый взять, чтобы получить т.н. "матчасть", от которой можно будет уже углубляться в настройки?

    Т.е. чтобы организовать то, что Вы мне предлагаете мне нужно сделать juniper шлюзом по умолчанию(присвоив ему сразу IP 192.168.0.1) и прописать маршрут такого плана !10.0.0.0=>192.168.0.2(этот ип я присвою тогда машине с pfSense на борту). Всё верно?

    Я пока не могу ничего сказать, так как не понятно что происходит на "Juniper SRX-роутер". У Вас на схеме нарисовано соединение координатор-SRX, там отдельная подсеть или что? Если SRX работает в режиме роутера, то должны быть какие-то IP адреса на этом участке.



  • @dvserg:

    Я пока не могу ничего сказать, так как не понятно что происходит на "Juniper SRX-роутер". У Вас на схеме нарисовано соединение координатор-SRX, там отдельная подсеть или что? Если SRX работает в режиме роутера, то должны быть какие-то IP адреса на этом участке.

    Я, если честно, тоже не очень понимаю что происходит на том участке. Сегодня ковырял Juniper SRX: сделал себе доступ по ssh и из веб-морды. Все порты там были сконфигурированы как family ethernet-switching {vlan {…}} и на этот vlan назначено 2 ip: один 10.140.5.200, второй 192.168.1.1. При этом с Juniper-а шлюз 10.х.х.1 (vipnet который) не пингуется... Завтра буду ковырять на предмет роутинга между этим vlan-ом и тем портом, что я сделал себе для доступа по ssh