как направить трафик в IPSEC (enc0)
-
Доброго времени суток!
сразу признаюсь, что я не сетевой администратор, так что прошу сильно не пинатьситуация такая, есть поднятый IPSEC pfsense с моей стороны - CISCO с чужой стороны
"мойВАН" (virual IP alias 192.168.51.4/32 на интерфейсе SERVER-192.168.10.250 ) –- (192.168.50.4/32) "чужойВАН"
т.е. туннель у меня получается не сетка-сетка, а IP adress 192.168.51.4/32 --- IP adress 192.168.50.4/32
стоит правило NAT с IPSEC 192.168.51.4:9000 to 192.168.10.100:9000
вход ловится в логах, т.е. правило срабатывает
в firewall поставил пока все протоколы по всем пропускать
беда в том, что 192.168.10.100 отвечает через дефаулт шлюз 192.168.10.250, и ответ уходит через шлюз моего "мойВАН", т.е. в никуда
пинг с локальной машины с 192.168.10.100 на 192.168.51.4 ЕСТЬ, с 192.168.10.100 на 192.168.50.4 (чужой) НЕТ
пинг с роутера 192.168.10.250 на 192.168.51.4 ЕСТЬ, с 192.168.10.250 на 192.168.50.4 НЕТ
пинг с роутера 192.168.51.4 на 192.168.50.4 ЕСТЬкак я понимаю, надо дать знать роутеру, что трафик на чужой 192.168.50.4 надо посылать в IPSEC
тогда и с моей локальной машины 192.168.10.100 состоится маршрут до чужого 192.168.50.4подскажите пожалуйста КАК трафик с моей локальной подсети 192.168.10.0.24 послать в IPSEC?
туннель в статусе "горит зеленым"содержимое /var/etc/ipsec/spd.conf
flush;
spdflush;
spdadd -4 192.168.10.250/32 192.168.10.0/24 any -P out none;
spdadd -4 192.168.10.0/24 192.168.10.250/32 any -P in none;
spdadd -4 192.168.51.4/32 192.168.50.4/32 any -P out ipsec esp/tunnel/мойВан-чужойВан/unique;
spdadd -4 192.168.50.4/32 192.168.51.4/32 any -P in ipsec esp/tunnel/чужойВан-мойВан/unique;Заранее спасибо!
-
PS
System: Advanced: Firewall and NAT
Static route filtering - Enabled
Enable NAT Reflection for 1:1 NAT - Enabled
Enable automatic outbound NAT for Reflection - Enabled
NAT Reflection mode for port forwards - - Enabled (pure NAT)VPN: IPsec: Edit Phase 1
NAT Traversal - Enabled -
Вообщем упростил
добавил адрес локальной машине 192.168.51.4/32 (которая 192.168.10.250)
на локальной машине добавил статический маршрут до сети 192.168.50.4/32Работает, но не так как хотел