Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    как направить трафик в IPSEC (enc0)

    Scheduled Pinned Locked Moved Russian
    3 Posts 1 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • R
      remru
      last edited by

      Доброго времени суток!
      сразу признаюсь, что я не сетевой администратор, так что прошу сильно не пинать

      ситуация такая, есть поднятый IPSEC pfsense с моей стороны - CISCO  с чужой стороны
      "мойВАН" (virual IP alias 192.168.51.4/32 на интерфейсе SERVER-192.168.10.250 ) –- (192.168.50.4/32) "чужойВАН"
      т.е. туннель у меня получается не сетка-сетка, а IP adress 192.168.51.4/32 --- IP adress 192.168.50.4/32
      стоит правило NAT с IPSEC 192.168.51.4:9000 to 192.168.10.100:9000
      вход ловится в логах, т.е. правило срабатывает
      в firewall поставил пока все протоколы по всем пропускать
      беда в том, что 192.168.10.100 отвечает через дефаулт шлюз 192.168.10.250, и ответ уходит через шлюз моего "мойВАН", т.е. в никуда
      пинг с локальной машины с 192.168.10.100 на 192.168.51.4 ЕСТЬ, с 192.168.10.100 на 192.168.50.4 (чужой) НЕТ
      пинг с роутера 192.168.10.250 на 192.168.51.4 ЕСТЬ, с 192.168.10.250 на 192.168.50.4 НЕТ
      пинг с роутера 192.168.51.4 на 192.168.50.4 ЕСТЬ

      как я понимаю, надо дать знать роутеру, что трафик на чужой 192.168.50.4 надо посылать в IPSEC
      тогда и с моей локальной машины 192.168.10.100 состоится маршрут до чужого 192.168.50.4

      подскажите пожалуйста КАК трафик с моей локальной подсети 192.168.10.0.24 послать в IPSEC?
      туннель в статусе "горит зеленым"

      содержимое /var/etc/ipsec/spd.conf
      flush;
      spdflush;
      spdadd -4 192.168.10.250/32 192.168.10.0/24 any -P out none;
      spdadd -4 192.168.10.0/24 192.168.10.250/32 any -P in none;
      spdadd -4 192.168.51.4/32 192.168.50.4/32 any -P out ipsec esp/tunnel/мойВан-чужойВан/unique;
      spdadd -4 192.168.50.4/32 192.168.51.4/32 any -P in ipsec esp/tunnel/чужойВан-мойВан/unique;

      Заранее спасибо!

      1 Reply Last reply Reply Quote 0
      • R
        remru
        last edited by

        PS
        System: Advanced: Firewall and NAT
        Static route filtering - Enabled
        Enable NAT Reflection for 1:1 NAT - Enabled
        Enable automatic outbound NAT for Reflection - Enabled
        NAT Reflection mode for port forwards -  - Enabled (pure NAT)

        VPN: IPsec: Edit Phase 1
        NAT Traversal - Enabled

        1 Reply Last reply Reply Quote 0
        • R
          remru
          last edited by

          Вообщем упростил
          добавил адрес локальной машине 192.168.51.4/32 (которая 192.168.10.250)
          на локальной машине добавил статический маршрут до сети 192.168.50.4/32

          Работает, но не так как хотел

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.