как направить трафик в IPSEC (enc0)


  • Доброго времени суток!
    сразу признаюсь, что я не сетевой администратор, так что прошу сильно не пинать

    ситуация такая, есть поднятый IPSEC pfsense с моей стороны - CISCO  с чужой стороны
    "мойВАН" (virual IP alias 192.168.51.4/32 на интерфейсе SERVER-192.168.10.250 ) –- (192.168.50.4/32) "чужойВАН"
    т.е. туннель у меня получается не сетка-сетка, а IP adress 192.168.51.4/32 --- IP adress 192.168.50.4/32
    стоит правило NAT с IPSEC 192.168.51.4:9000 to 192.168.10.100:9000
    вход ловится в логах, т.е. правило срабатывает
    в firewall поставил пока все протоколы по всем пропускать
    беда в том, что 192.168.10.100 отвечает через дефаулт шлюз 192.168.10.250, и ответ уходит через шлюз моего "мойВАН", т.е. в никуда
    пинг с локальной машины с 192.168.10.100 на 192.168.51.4 ЕСТЬ, с 192.168.10.100 на 192.168.50.4 (чужой) НЕТ
    пинг с роутера 192.168.10.250 на 192.168.51.4 ЕСТЬ, с 192.168.10.250 на 192.168.50.4 НЕТ
    пинг с роутера 192.168.51.4 на 192.168.50.4 ЕСТЬ

    как я понимаю, надо дать знать роутеру, что трафик на чужой 192.168.50.4 надо посылать в IPSEC
    тогда и с моей локальной машины 192.168.10.100 состоится маршрут до чужого 192.168.50.4

    подскажите пожалуйста КАК трафик с моей локальной подсети 192.168.10.0.24 послать в IPSEC?
    туннель в статусе "горит зеленым"

    содержимое /var/etc/ipsec/spd.conf
    flush;
    spdflush;
    spdadd -4 192.168.10.250/32 192.168.10.0/24 any -P out none;
    spdadd -4 192.168.10.0/24 192.168.10.250/32 any -P in none;
    spdadd -4 192.168.51.4/32 192.168.50.4/32 any -P out ipsec esp/tunnel/мойВан-чужойВан/unique;
    spdadd -4 192.168.50.4/32 192.168.51.4/32 any -P in ipsec esp/tunnel/чужойВан-мойВан/unique;

    Заранее спасибо!


  • PS
    System: Advanced: Firewall and NAT
    Static route filtering - Enabled
    Enable NAT Reflection for 1:1 NAT - Enabled
    Enable automatic outbound NAT for Reflection - Enabled
    NAT Reflection mode for port forwards -  - Enabled (pure NAT)

    VPN: IPsec: Edit Phase 1
    NAT Traversal - Enabled


  • Вообщем упростил
    добавил адрес локальной машине 192.168.51.4/32 (которая 192.168.10.250)
    на локальной машине добавил статический маршрут до сети 192.168.50.4/32

    Работает, но не так как хотел