Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Ipsec /16 + openvpn /24

    Scheduled Pinned Locked Moved Russian
    4 Posts 2 Posters 1.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • U
      UVCXanth
      last edited by

      Доброго времени суток!
      Есть такая сеть

      Через туннели ipsec бегает трафик по маске 192.168.0.0/16 на циску и она его разруливает дальше.
      Но! Необходимо выкусить из /16-й сети сети 192.168.95.0/24 и 192.168.96.0/24 и завернуть их маршрутизацию через openvpn минуя циску (между ними более толстый канал).
      ПРи этом нужно сохранить маршрутизацию 192.168.0.0/16 (за исключением 192.168.95.0/24 и 192.168.96.0/24) на циску через ipsec

      Может кто-то сталкивался? Без pfsense на голой системе такое можно сделать вот так: https://wiki.debian.org/IPsec/ToLargeSubnet

      Может кто-то что-то подскажет?
      lan.png
      lan.png_thumb

      1 Reply Last reply Reply Quote 0
      • R
        rubic
        last edited by

        Вообще говоря, при выборе подходящего маршрута всегда побеждает маршрут с наибольшей маской (Longest Prefix Match - LPM). И тут, казалось бы все должно работать и так, но IPSEC - это особый случай. Условно можно сказать, что он заворачивает в туннель трафик подходящий под Security Policy и плевать хотел на системную маршрутизацию.
        Поскольку через GUI реализовать рецепт предложенный в вашей ссылке невозможно, короткий ответ: используйте не OpenVPN между двумя pfSense, а тоже IPSEC. Хотя легкое гугление по "IPSEC longest prefix" приводит к противоречивым результатам, все-равно даже там, где пишут, что оно не поддерживается, говориться, что поиск по SPD берет из базы первый попавшийся вариант. Т.е. сначала заводите phase2 для 192.168.95.0/24, а затем для 192.168.0.0/16. Нужно пробовать.

        1 Reply Last reply Reply Quote 0
        • U
          UVCXanth
          last edited by

          Построить туннели между серверами на ipsec мы уже пробовали - в результате все туннели начинали вести себя не адекватно - так как куда он завернет пакет никто не мог предсказать.

          1 Reply Last reply Reply Quote 0
          • R
            rubic
            last edited by

            @rubic:

            сначала заводите phase2 для 192.168.95.0/24, а затем для 192.168.0.0/16.

            Вы уверены, что когда вы пробовали это было так и настройки серверов были согласованы?

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.