помогите прописать маршрут



  • Есть pfSense с двумя сетевыми WAN и LAN (IP4 - 172.21.128.10). На Lan интерфейсе подсеть 172.21.128.0/23.
    В сети так же есть ещё один шлюз D-Link Dfl-210(IP4 - 172.21.128.2). На нем IpSec тунель до московского офиса. Где есть две подсети 172.20.128.0/20 и 172.22.128.0/20. В сети у всех компов по умолчанию шлюз 172.21.128.10.
    Задача подключиться из нашей сети 172.21.128.0/23 к московским подсетям использую шлюз 172.21.128.10, а не 172.21.128.2.
    Вот что я сделал. Все в скриншотах.
    Сначало прописал ещё один шлюз и два маршрута.

    После того как я прописал маршрут в System - routes , из pfSense начал пинговаться 172.20.128.144. Что правильно.
    Теперь нужно было добиться что б из компов в сети начал пинговаться 172.20.128.144.

    После того как добавил правила, то пинг пошел но вообще не устойчиво.  Что ещё нужно подкрутить.

    Есть в сети машина 172.21.128.3 где прописан шлюз 172.21.128.2. Пинг до 172.20.128.144 в скриншоте














  • Вам надо добавить на pfsense один шлюз "D-Link Dfl-210(IP4 - 172.21.128.2)" и два маршрута на "172.20.128.0/20 и 172.22.128.0/20".
    В правилах firewall-а можете резрешить все, чтобы убедиться, что работает. Потом закрыть лишнее, открыть необходимое.



  • Зачем LANGW нужен? У вас же есть Moscow. И маршрут уже нарисован.
    Далее, у всех кому нужен доступ в Мск, шлюзом должен быть pfsense.

    И еще, зачем "костыль" в виде DFL? Оставьте только pf и поднимите на нем IPSEC.



  • @werter:

    Зачем LANGW нужен? У вас же есть Moscow. И маршрут уже нарисован.
    Далее, у всех кому нужен доступ в Мск, шлюзом должен быть pfsense.

    И еще, зачем "костыль" в виде DFL? Оставьте только pf и поднимите на нем IPSEC.

    DFL стоит давно, на другом конце точто такой же DFL. Тоесть просто нужно удалить шлюз LANGW?



  • @werter:

    Зачем LANGW нужен? У вас же есть Moscow. И маршрут уже нарисован.
    Далее, у всех кому нужен доступ в Мск, шлюзом должен быть pfsense.

    И еще, зачем "костыль" в виде DFL? Оставьте только pf и поднимите на нем IPSEC.

    Удалил LANGW, поставил на вкладке NAT - Outbound - Automatic outbound NAT rule generation. Итог с pfSense 172.20.128.144 пингуется, из сети 100% потерь.
    Картинки прикрепились?



  • в https://forum.pfsense.org/index.php?action=dlattach;topic=98567.0;attach=66282

    два последних правила должны быть выше остальных
    и для работы ping/tracert должны разрешать icmp трафик.



  • @Scodezan:

    в https://forum.pfsense.org/index.php?action=dlattach;topic=98567.0;attach=66282

    два последних правила должны быть выше остальных
    и для работы ping/tracert должны разрешать icmp трафик.

    Вот что я сделал
    https://forum.pfsense.org/index.php?action=dlattach;topic=98567.0;attach=66299;image

    Пинг все так же не идет.
    https://forum.pfsense.org/index.php?action=dlattach;topic=98567.0;attach=66301;image






  • странно…  А время достаточно прошло? На pf достаточно временами долго обновляются.
    А может у вас шлюз явно указан на wan в interfaces, но вроде не должно влиять.



  • @Scodezan:

    странно…  А время достаточно прошло? На pf достаточно временами долго обновляются.
    А может у вас шлюз явно указан на wan в interfaces, но вроде не должно влиять.

    Ну мне кажется от времени не зависит. Всмысле я ждал и 1 час когда отлучался.
    На ван интерфейсе стоит шлюз провайдера.
    Вот на лан интерфейсе ничего не стоит, хотя ставил и 172.21.128.2, но результата это не дало никакого.



  • Я про то, когда на интерфейсе явно шлюз прописан применяются специальные правила фаервола, и начинается всякая трудно объяснимая ерунда.



  • Вот что получилось в итоге. У меня есть 172.21.128.0 с маской 255.255.254.0.
    Мой комп с которого я сижу и пингую московскую сеть 172.21.129.109.
    Так вот из подсети 172.21.128.* все работает. А с 172.21.129.* теряются пакеты. В чем может быть дело?



  • @Cooller:

    Вот что получилось в итоге. У меня есть 172.21.128.0 с маской 255.255.254.0.
    Мой комп с которого я сижу и пингую московскую сеть 172.21.129.109.
    Так вот из подсети 172.21.128.* все работает. А с 172.21.129.* теряются пакеты. В чем может быть дело?

    Разбирайтесь с маршрутами, правилами fw в сети 172.21.129.* . Там же DFL стоит? Вот на нем и "рисуйте".

    DFL стоит давно, на другом конце точто такой же DFL. Тоесть просто нужно удалить шлюз LANGW?

    Это не причина. Не любите себе моск. Настраивайте ipsec на pfsense (вместо DFL). Pfsense намного гибче, удобнее и нагляднее.



  • Проще всего будет отдавать компьютерам в сети дополнительные маршруты через DHCP сразу на DFL.


Log in to reply