PortForwarding между wan1 и wan2



  • Доброго дня!

    Прошу помощи есть IPSec клиент Dlink и сервер PfSense находящиеся у разных операторов,
    И есть посредник который надо настроить и у которого есть 2 провода от этих операторов в лице PfSense или mikrotik.
    Все подключения по PPPoE но с постоянными адресами.
    Нужно объединить клиента и сервера, и так по подробнее:
    Клиент DLink
    Сервер и посредник PfSense или mikrotik

    |IPsecClient(PPPoE)| –-operator1--->|(PPPoE-wan1) pfsense или mikrotik (PPPoE-wan2)| ----operator2--->|(PPPoE)IPSecServer|

    В идеале нужно пробросить udp500 и ESP протокол, или на крайний случай upd500,4500 (IPSecOverUdp)
    Второй вариант не желателен так как нет уверенности совместимости сервера и клиента.

    Помогите пожалуйста куда мне двигаться. Раньше клиент и сервер мирно жили в течении последних 5 лет в одной сети но обстоятельства непреодолимой силы их развели :)



  • Рисуйте человеческую схему с адресацией.



  • Готово.




  • я бы попробовал  2  IPSec туннеля (а не клиент-сервера) от посредника

    слева туннель: lan1 192.168.0.0/24 <–> lan2 192.168.1.0/23

    справа туннель: lan1 192.168.0.0/23 <--> lan2 192.168.2.0/24

    может еще что то придется на посреднике в маршрутах дописать



  • К сожалению этот вариант не рассматривается, так как посредник это практически вражеская территория.
    Может неправильно выразился клиент это ИНИЦИАТОР соединения, а сервер СЛУШАТЕЛЬ.

    Рассматривается только вариант именно прослушивания одного внешнего интерфейса и проброс  через другой внешний интерфейс.

    Проброс на внутренний интерфейс все понятно, а вот с внешнего и через другой внешний пока не поддается пониманию…..



  • я так понял оба шнурка в pfSense "посредника" подключены и WANы подняты
    1.делаешь проброс портов с WAN1 на адрес 172.1.1.33 + разрешения
    2.добавь шлюз и пропиши маршрут на IPSec-сервере до 10.10.0.0/24, шлюз 172.0.1.90
    3.на посреднике тоже добавить маршрут до 10.10.0.0/24 через шлюз WAN1
    4.снимай галки Block private networks на всех WAN-интерфейсах, может еще Block bogon networks снять для пробы
    5.смотри логи на посреднике и добавляй разрешения, если начнет блокировать



  • @zhhh:

    я так понял оба шнурка в pfSense "посредника" подключены и WANы подняты
    1.делаешь проброс портов с WAN1 на адрес 172.1.1.33 + разрешения
    2.добавь шлюз и пропиши маршрут на IPSec-сервере до 10.10.0.0/24, шлюз 172.0.1.90
    3.на посреднике тоже добавить маршрут до 10.10.0.0/24 через шлюз WAN1
    4.снимай галки Block private networks на всех WAN-интерфейсах, может еще Block bogon networks снять для пробы
    5.смотри логи на посреднике и добавляй разрешения, если начнет блокировать

    1,3,4,5-хорошо
    Но 2-вот тут не могу ведь на IPSec-сервере на WAN поднят PPPoE и шлюз 172.0.1.90 не пропишет, дословно
      The gateway address 172.0.1.90 does not lie within one of the chosen interface's subnets.

    Я вообще делал 1 и пытался поднимать NAT на WAN2 но не "догнал" в чем не прав но то, что на правильном пути понимаю.

    У меня аналогичная сложность со второй задачей которую не могу решить:
    Имеем: например WSUS сервер обновлений у оператора доступном на порту 80(http) ip адреса 85.28.194.58
    Задача:
      а) пустить всех с локалки IPSec сервера 192.168.1.0/24 к WSUS но схитрив указав у клиентов IP wsus-сервиса 192.168.1.1:8081
      б) пустить всех клиентов с IPSec туннеля 192.168.0.0/24 к WSUS так-же указав у клиентов IP wsus-сервиса 192.168.1.1:8081
    Решение:
      а) работает на ура - из локалки летает :)
      б) клиенты отказываются на отрез работать :(

    а,б - снимок правил прилагаю.




  • @vicheslav_v:

    1,3,4,5-хорошо
    Но 2-вот тут не могу ведь на IPSec-сервере на WAN поднят PPPoE и шлюз 172.0.1.90 не пропишет, дословно
      The gateway address 172.0.1.90 does not lie within one of the chosen interface's subnets.

    надо указать серверу где искать 10.10.0.0/24 подсеть… щас может гуру ПФ подключатся и подскажут пути решения