Маршрутизация



  • Уже какой день бьюсь. Сеть в организации очень запущена. Черт ногу сломит. НО суть такова:
    172.168.0.0/24 - верхняя в иерархии сеть. (мы не управляем этой сетью. Есть наши подрядчики, но по условиям договора мы эту сеть ни коим образом ни как и что и куда в ней будет известно одному богу, они по факту подчиняются нашему минестерству) В этой сети стоит pfsense (wan-172.168.0.50)
    Потом есть еще 4 подсети:
    1. 192.168.0.0/24 (в этой сети тот же pfsense 192.168.0.2)
    2. 10.100.18.0/24 (Тут windows сервер с lan 10.100.18.100 и wan 172.168.0.10)
    3. 10.100.19.0/24 (как тут что образуется не известно, знаю точно будут стоять управляемые маршрутизаторы и как я понимаю с поддержкой openvpn, эту чать сети еще в глаза ни кто не видел и ее точную конфу ни кто не знает, ее так же делает субподряд с пожизненм обслуживанеим. Скорее всего так же выпрут ее в 172.168.0.0 через vpn)
    4. 10.100.12.0/24 так же как и с 3-ей
    В верхней доступ должен быть только в инет (в ней инет напрямую с маршрутизатора).
    Остлаьные:
    1 - доступ в 2, 3 и 4
    2 - доступ к 1-ой и 2, 3 + инет
    3 и 4 сети должны  иметь доступ только ко второй + инет.

    3 и 4 пока не интересуют, да и вродеэто у меня полуичлось реализовать.
    Все решил делать через OpenVPN peer to peer. ВО первых 3 и 4 подсети будут расоплогать удаленно пробрасываться к нам через инет.
    Проблемы со второй. и 1-ой. Получилось так что из 2-ой я уже могу попадать в первую. Там легко. + маршрутизация на виндовом сервере (он же dhcp сервер и dns для второй подсети). Но вот доступ из 1-ой сети во вторую… Ни как. Вообще не допру, я в сетях валенок скажем так. Из первой сети интерфейс клиенский vpn (10.0.8.6) пингую, а дальше ни как. Есть делаю pathping 10.100.18.100 то ухадит на 192.168.0.2 и дальше тухляк. Как быть? Заранее благодарю.






  • Дайте что ли Diagnostics -> Routes с pfSense и что у вас в OpenVPN -> Client Specific Override



  • @rubic:

    Дайте что ли Diagnostics -> Routes с pfSense и что у вас в OpenVPN -> Client Specific Override

    Как-то так.
    Ах да. Перепутал не peer to peer а RemoteAccess SSL/TLS + UserAuth.








  • @sirota:

    Ах да. Перепутал не peer to peer а RemoteAccess SSL/TLS + UserAuth.

    Ну, так этот режим и не предназначен для того чтобы было видно сеть за клиентом. Предполагается, что ее нет, а клиент - это просто одиночный комп. Поэтому и маршрут в 10.100.18.0/24 у вас в таблице отсутствует.
    Пробуйте в Advanced configuration OpenVPN сервера вписать route 10.100.18.0 255.255.255.0 или меняйте режим на peer to peer.



  • @rubic:

    @sirota:

    Ах да. Перепутал не peer to peer а RemoteAccess SSL/TLS + UserAuth.

    Ну, так этот режим и не предназначен для того чтобы было видно сеть за клиентом. Предполагается, что ее нет, а клиент - это просто одиночный комп. Поэтому и маршрут в 10.100.18.0/24 у вас в таблице отсутствует.
    Пробуйте в Advanced configuration OpenVPN сервера вписать route 10.100.18.0 255.255.255.0 или меняйте режим на peer to peer.

    Хоть с route хоть без, но легче не стало. ПОсле того как поменял peer to peer и вписал удаленную сеть действительно появился маршрут. НО почему-то через 10,0,8,2, его я ни как не могу пингануть, есть только 10.0.8.1 (это пфсен) и 10.0.8.6 - клиент.
    ПРи попытки пинга 10.100.18.100 (сервер который подключен к нфсенсу через опенвпн) получаю следующее:

    Трассировка маршрута к 10.100.18.100 с максимальным числом переходов 30

    0  hell-notebook.localdomain [192.168.0.13]
      1  pfsense.localdomain [192.168.0.2]
      2    *        *        *

    C:\Users\Administrator>ROUTE PRINT

    Список интерфейсов
    22 …00 ff 9a 9c ff 7d ...... TAP-Windows Adapter V9
    12 ...94 de 80 0e 35 3b ...... Qualcomm Atheros AR8161/8165 PCI-E Gigabit Ether
    net Controller
    10 ...c8 be 19 27 d1 43 ...... D-Link DGE-528T Gigabit Ethernet Adapter
    13 ...7a 79 19 73 2e 7a ...... Hamachi Network Interface
      1 ........................... Software Loopback Interface 1
    14 ...00 00 00 00 00 00 00 e0  isatap.{8A773082-37C3-4E3B-A7F2-50670F5510AC}
    16 ...00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter #30
    11 ...02 00 54 55 4e 01 ...... Teredo Tunneling Pseudo-Interface
    15 ...00 00 00 00 00 00 00 e0  isatap.{110619A2-31F0-4816-A19A-42093FDBD7D6}
    23 ...00 00 00 00 00 00 00 e0  Microsoft ISATAP Adapter #33

    IPv4 таблица маршрута

    Активные маршруты:
    Сетевой адрес          Маска сети      Адрес шлюза      Интерфейс  Метрика
              0.0.0.0          0.0.0.0      172.168.0.2    172.168.0.10    276
              0.0.0.0          0.0.0.0        25.0.0.1    25.115.46.122  9256
            10.0.8.1  255.255.255.255        10.0.8.5        10.0.8.6    20
            10.0.8.4  255.255.255.252        On-link          10.0.8.6    276
            10.0.8.6  255.255.255.255        On-link          10.0.8.6    276
            10.0.8.7  255.255.255.255        On-link          10.0.8.6    276
          10.100.18.0    255.255.255.0        On-link    10.100.18.100    266
        10.100.18.100  255.255.255.255        On-link    10.100.18.100    266
        10.100.18.255  255.255.255.255        On-link    10.100.18.100    266
            25.0.0.0        255.0.0.0        On-link    25.115.46.122  9256
        25.115.46.122  255.255.255.255        On-link    25.115.46.122  9256
      25.255.255.255  255.255.255.255        On-link    25.115.46.122  9256
            127.0.0.0        255.0.0.0        On-link        127.0.0.1    306
            127.0.0.1  255.255.255.255        On-link        127.0.0.1    306
      127.255.255.255  255.255.255.255        On-link        127.0.0.1    306
          172.168.0.0    255.255.255.0        On-link      172.168.0.10    276
        172.168.0.10  255.255.255.255        On-link      172.168.0.10    276
        172.168.0.255  255.255.255.255        On-link      172.168.0.10    276
          192.168.0.0    255.255.255.0        10.0.8.5        10.0.8.6    20
            224.0.0.0        240.0.0.0        On-link        127.0.0.1    306
            224.0.0.0        240.0.0.0        On-link      172.168.0.10    276
            224.0.0.0        240.0.0.0        On-link    10.100.18.100    266
            224.0.0.0        240.0.0.0        On-link    25.115.46.122  9256
            224.0.0.0        240.0.0.0        On-link          10.0.8.6    276
      255.255.255.255  255.255.255.255        On-link        127.0.0.1    306
      255.255.255.255  255.255.255.255        On-link      172.168.0.10    276
      255.255.255.255  255.255.255.255        On-link    10.100.18.100    266
      255.255.255.255  255.255.255.255        On-link    25.115.46.122  9256
      255.255.255.255  255.255.255.255        On-link          10.0.8.6    276

    Постоянные маршруты:
      Сетевой адрес            Маска    Адрес шлюза      Метрика
              0.0.0.0          0.0.0.0      172.168.0.2  По умолчанию
              0.0.0.0          0.0.0.0        25.0.0.1  По умолчанию

    IPv6 таблица маршрута

    Активные маршруты:
    Метрика  Сетевой адрес            Шлюз
    13  9020 ::/0                    2620:9b::1900:1
      1    306 ::1/128                  On-link
    13    276 2620:9b::/96            On-link
    13    276 2620:9b::1973:2e7a/128  On-link
    10    276 fe80::/64                On-link
    12    266 fe80::/64                On-link
    13    276 fe80::/64                On-link
    13    276 fe80::3121:2b6d:fd5:9ced/128
                                        On-link
    10    276 fe80::71ba:f04:413c:8c8/128
                                        On-link
    12    266 fe80::e9b9:9f18:af00:dbe3/128
                                        On-link
      1    306 ff00::/8                On-link
    10    276 ff00::/8                On-link
    12    266 ff00::/8                On-link
    13    276 ff00::/8                On-link

    Постоянные маршруты:
    Метрика  Сетевой адрес            Шлюз
      0 4294967295 2620:9b::/96            On-link
      0  9000 ::/0                    2620:9b::1900:1




  • 10.0.8.2 и 10.0.8.5 - это адреса виртуального маршрутизатора, они  не пингуются. С маршрутизацией на обоих концах все вроде нормально, так что смотрите правила LAN pfSense и брандмауэр/антивирус на виндовом сервере.