Прохождение пакетов между wan2 и lan без ната
-
Доброго времени суток, дорогие форумчане! PFsense 2.1.5 я использую уже давно, и всем доволен.
Есть WAN со статическим реальником.
Есть LAN 192.168.21.0/24 откуда пользователи натятся автоматически.Всё шло хорошо, до тех пор, как мы не объединились с другой организацией, где у них своя сеть с блэкджеком и цисками.
Вернее даже после этого всё шло не плохо, я добавил интерфейс WAN2 с выделенным мне адресом 192.168.0.245/24 и шлюзом 192.168.0.151. Это что бы в интернет выходить при случае падения основного канала. Запилил по инструкции группу шлюзов MultiWan. Протестировал - всё великолепно!
Статических маршрутов у меня нет, доступ к дружеской сети я организовал через firewall:rules на интерфейсе LAN с указанием шлюза 192.168.0.151 (после тщательного изучения форума). На интерфейсе WAN2 только разрешающее правило всея для всех.
Но вот однажды, сидя на их серваке (192.168.0.105) из своей сети по ssh сделав w я обратил внимание, что вижусь там как залогиненный с адреса 192.168.0.245. Хотя мой адрес из сети 192.168.21.0/24.
Ага! Дело в NAT - подумал я и переключился на ручной нат, с единственным правилом натящим мою внутреннюю сетку 192.168.21.0/24 на WAN address.
И вот тут началась мистика. Интернет, конечно не пропал, но сервер, где я успешно сидел по ssh (192.168.0.105) оказался вообще не пингуемым! Хотя другой сервер 192.168.0.188 пингуется успешно. И зайдя туда, я вижу себя уже от правильного ипишника (192.168.21.222 уррааа!). Так же перестала пинговаться вообще половина работающих хостов в сети 192.168.0.0/24.
Конечно, я могу вновь переключиться на автоматический нат, но это не по мужски, так сказать, натить внутренние подсети.
На циске 192.168.0.151 доступ в мою сеть организован простой строчкой ip route 192.168.21.0 255.255.255.0 192.168.0.245.
Как быть? =( -
А на "непингуемых" в сети 192.168.0.0/24 компьютерах нет ли файрволла, блокирующего пакеты из чужих сетей?
Для встроенного в Windows, например, создание разрешающего правила обязательно, без него нет ни пинга, ни доступа к сетевым ресурсам. -
А на "непингуемых" в сети 192.168.0.0/24 компьютерах нет ли файрволла, блокирующего пакеты из чужих сетей?
Для встроенного в Windows, например, создание разрешающего правила обязательно, без него нет ни пинга, ни доступа к сетевым ресурсам.Нет, естественно, это я проверял. Машин много разных, в том числе и на линуксе, с выключенными ип-таблесами.
-
А что указано шлюзом на недоступных машинах?
-
А что указано шлюзом на недоступных машинах?
циска 192.168.0.151
Но кажется я разобрался, дело было в локальной маршрутизации со стороны дружественной сети.
Ещё момент остался не решенный. Будет ли работать теперь интернет, если WAN2 станет основным шлюзом? Нужно добавить в нат еще правило для этого небось? -
2 ton
Скрины NAT, fw на pf покажите пож-та -
-
Для прохождения пакетов из сети в сеть без изменения ip-адреса отправителя нужно поставить галку на NO NAT в создаваемом правиле NAT.
И поставить его повыше (по ситуации). Ниже же будут правила NAT , касающиеся выхода лок. сети в Интернет\etc.