Маршрутизация
-
Уже какой день бьюсь. Сеть в организации очень запущена. Черт ногу сломит. НО суть такова:
172.168.0.0/24 - верхняя в иерархии сеть. (мы не управляем этой сетью. Есть наши подрядчики, но по условиям договора мы эту сеть ни коим образом ни как и что и куда в ней будет известно одному богу, они по факту подчиняются нашему минестерству) В этой сети стоит pfsense (wan-172.168.0.50)
Потом есть еще 4 подсети:
1. 192.168.0.0/24 (в этой сети тот же pfsense 192.168.0.2)
2. 10.100.18.0/24 (Тут windows сервер с lan 10.100.18.100 и wan 172.168.0.10)
3. 10.100.19.0/24 (как тут что образуется не известно, знаю точно будут стоять управляемые маршрутизаторы и как я понимаю с поддержкой openvpn, эту чать сети еще в глаза ни кто не видел и ее точную конфу ни кто не знает, ее так же делает субподряд с пожизненм обслуживанеим. Скорее всего так же выпрут ее в 172.168.0.0 через vpn)
4. 10.100.12.0/24 так же как и с 3-ей
В верхней доступ должен быть только в инет (в ней инет напрямую с маршрутизатора).
Остлаьные:
1 - доступ в 2, 3 и 4
2 - доступ к 1-ой и 2, 3 + инет
3 и 4 сети должны иметь доступ только ко второй + инет.3 и 4 пока не интересуют, да и вродеэто у меня полуичлось реализовать.
Все решил делать через OpenVPN peer to peer. ВО первых 3 и 4 подсети будут расоплогать удаленно пробрасываться к нам через инет.
Проблемы со второй. и 1-ой. Получилось так что из 2-ой я уже могу попадать в первую. Там легко. + маршрутизация на виндовом сервере (он же dhcp сервер и dns для второй подсети). Но вот доступ из 1-ой сети во вторую… Ни как. Вообще не допру, я в сетях валенок скажем так. Из первой сети интерфейс клиенский vpn (10.0.8.6) пингую, а дальше ни как. Есть делаю pathping 10.100.18.100 то ухадит на 192.168.0.2 и дальше тухляк. Как быть? Заранее благодарю.
-
Дайте что ли Diagnostics -> Routes с pfSense и что у вас в OpenVPN -> Client Specific Override
-
Дайте что ли Diagnostics -> Routes с pfSense и что у вас в OpenVPN -> Client Specific Override
Как-то так.
Ах да. Перепутал не peer to peer а RemoteAccess SSL/TLS + UserAuth.
-
Ах да. Перепутал не peer to peer а RemoteAccess SSL/TLS + UserAuth.
Ну, так этот режим и не предназначен для того чтобы было видно сеть за клиентом. Предполагается, что ее нет, а клиент - это просто одиночный комп. Поэтому и маршрут в 10.100.18.0/24 у вас в таблице отсутствует.
Пробуйте в Advanced configuration OpenVPN сервера вписать route 10.100.18.0 255.255.255.0 или меняйте режим на peer to peer. -
Ах да. Перепутал не peer to peer а RemoteAccess SSL/TLS + UserAuth.
Ну, так этот режим и не предназначен для того чтобы было видно сеть за клиентом. Предполагается, что ее нет, а клиент - это просто одиночный комп. Поэтому и маршрут в 10.100.18.0/24 у вас в таблице отсутствует.
Пробуйте в Advanced configuration OpenVPN сервера вписать route 10.100.18.0 255.255.255.0 или меняйте режим на peer to peer.Хоть с route хоть без, но легче не стало. ПОсле того как поменял peer to peer и вписал удаленную сеть действительно появился маршрут. НО почему-то через 10,0,8,2, его я ни как не могу пингануть, есть только 10.0.8.1 (это пфсен) и 10.0.8.6 - клиент.
ПРи попытки пинга 10.100.18.100 (сервер который подключен к нфсенсу через опенвпн) получаю следующее:Трассировка маршрута к 10.100.18.100 с максимальным числом переходов 30
0 hell-notebook.localdomain [192.168.0.13]
1 pfsense.localdomain [192.168.0.2]
2 * * *C:\Users\Administrator>ROUTE PRINT
Список интерфейсов
22 …00 ff 9a 9c ff 7d ...... TAP-Windows Adapter V9
12 ...94 de 80 0e 35 3b ...... Qualcomm Atheros AR8161/8165 PCI-E Gigabit Ether
net Controller
10 ...c8 be 19 27 d1 43 ...... D-Link DGE-528T Gigabit Ethernet Adapter
13 ...7a 79 19 73 2e 7a ...... Hamachi Network Interface
1 ........................... Software Loopback Interface 1
14 ...00 00 00 00 00 00 00 e0 isatap.{8A773082-37C3-4E3B-A7F2-50670F5510AC}
16 ...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #30
11 ...02 00 54 55 4e 01 ...... Teredo Tunneling Pseudo-Interface
15 ...00 00 00 00 00 00 00 e0 isatap.{110619A2-31F0-4816-A19A-42093FDBD7D6}
23 ...00 00 00 00 00 00 00 e0 Microsoft ISATAP Adapter #33IPv4 таблица маршрута
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 172.168.0.2 172.168.0.10 276
0.0.0.0 0.0.0.0 25.0.0.1 25.115.46.122 9256
10.0.8.1 255.255.255.255 10.0.8.5 10.0.8.6 20
10.0.8.4 255.255.255.252 On-link 10.0.8.6 276
10.0.8.6 255.255.255.255 On-link 10.0.8.6 276
10.0.8.7 255.255.255.255 On-link 10.0.8.6 276
10.100.18.0 255.255.255.0 On-link 10.100.18.100 266
10.100.18.100 255.255.255.255 On-link 10.100.18.100 266
10.100.18.255 255.255.255.255 On-link 10.100.18.100 266
25.0.0.0 255.0.0.0 On-link 25.115.46.122 9256
25.115.46.122 255.255.255.255 On-link 25.115.46.122 9256
25.255.255.255 255.255.255.255 On-link 25.115.46.122 9256
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.168.0.0 255.255.255.0 On-link 172.168.0.10 276
172.168.0.10 255.255.255.255 On-link 172.168.0.10 276
172.168.0.255 255.255.255.255 On-link 172.168.0.10 276
192.168.0.0 255.255.255.0 10.0.8.5 10.0.8.6 20
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 172.168.0.10 276
224.0.0.0 240.0.0.0 On-link 10.100.18.100 266
224.0.0.0 240.0.0.0 On-link 25.115.46.122 9256
224.0.0.0 240.0.0.0 On-link 10.0.8.6 276
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 172.168.0.10 276
255.255.255.255 255.255.255.255 On-link 10.100.18.100 266
255.255.255.255 255.255.255.255 On-link 25.115.46.122 9256
255.255.255.255 255.255.255.255 On-link 10.0.8.6 276Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 172.168.0.2 По умолчанию
0.0.0.0 0.0.0.0 25.0.0.1 По умолчаниюIPv6 таблица маршрута
Активные маршруты:
Метрика Сетевой адрес Шлюз
13 9020 ::/0 2620:9b::1900:1
1 306 ::1/128 On-link
13 276 2620:9b::/96 On-link
13 276 2620:9b::1973:2e7a/128 On-link
10 276 fe80::/64 On-link
12 266 fe80::/64 On-link
13 276 fe80::/64 On-link
13 276 fe80::3121:2b6d:fd5:9ced/128
On-link
10 276 fe80::71ba:f04:413c:8c8/128
On-link
12 266 fe80::e9b9:9f18:af00:dbe3/128
On-link
1 306 ff00::/8 On-link
10 276 ff00::/8 On-link
12 266 ff00::/8 On-link
13 276 ff00::/8 On-linkПостоянные маршруты:
Метрика Сетевой адрес Шлюз
0 4294967295 2620:9b::/96 On-link
0 9000 ::/0 2620:9b::1900:1
-
10.0.8.2 и 10.0.8.5 - это адреса виртуального маршрутизатора, они не пингуются. С маршрутизацией на обоих концах все вроде нормально, так что смотрите правила LAN pfSense и брандмауэр/антивирус на виндовом сервере.