Прохождение пакетов между wan2 и lan без ната



  • Доброго времени суток, дорогие форумчане! PFsense 2.1.5 я использую уже давно, и всем доволен.
    Есть WAN со статическим реальником.
    Есть LAN 192.168.21.0/24 откуда пользователи натятся автоматически.

    Всё шло хорошо, до тех пор, как мы не объединились с другой организацией, где у них своя сеть с блэкджеком и цисками.

    Вернее даже после этого всё шло не плохо, я добавил интерфейс WAN2 с выделенным мне адресом 192.168.0.245/24 и шлюзом 192.168.0.151. Это что бы в интернет выходить при случае падения основного канала. Запилил по инструкции группу шлюзов MultiWan. Протестировал - всё великолепно!

    Статических маршрутов у меня нет, доступ к дружеской сети я организовал через firewall:rules на интерфейсе LAN с указанием шлюза 192.168.0.151 (после тщательного изучения форума). На интерфейсе WAN2 только разрешающее правило всея для всех.

    Но вот однажды, сидя на их серваке (192.168.0.105) из своей сети по ssh сделав w я обратил внимание, что вижусь там как залогиненный с адреса 192.168.0.245. Хотя мой адрес из сети 192.168.21.0/24.

    Ага! Дело в NAT - подумал я и переключился на ручной нат, с единственным правилом натящим мою внутреннюю сетку 192.168.21.0/24 на WAN address.

    И вот тут началась мистика. Интернет, конечно не пропал, но сервер, где я успешно сидел по ssh (192.168.0.105) оказался вообще не пингуемым! Хотя другой сервер 192.168.0.188 пингуется успешно. И зайдя туда, я вижу себя уже от правильного ипишника (192.168.21.222 уррааа!). Так же перестала пинговаться вообще половина работающих хостов в сети 192.168.0.0/24.

    Конечно, я могу вновь переключиться на автоматический нат, но это не по мужски, так сказать, натить внутренние подсети.

    На циске 192.168.0.151 доступ в мою сеть организован простой строчкой ip route 192.168.21.0 255.255.255.0 192.168.0.245.
    Как быть? =(



  • А на "непингуемых" в сети 192.168.0.0/24 компьютерах нет ли файрволла, блокирующего пакеты из чужих сетей?
    Для встроенного в Windows, например, создание разрешающего правила обязательно, без него нет ни пинга, ни доступа к сетевым ресурсам.



  • @pigbrother:

    А на "непингуемых" в сети 192.168.0.0/24 компьютерах нет ли файрволла, блокирующего пакеты из чужих сетей?
    Для встроенного в Windows, например, создание разрешающего правила обязательно, без него нет ни пинга, ни доступа к сетевым ресурсам.

    Нет, естественно, это я проверял. Машин много разных, в том числе и на линуксе, с выключенными ип-таблесами.



  • А что указано шлюзом на недоступных машинах?



  • @pigbrother:

    А что указано шлюзом на недоступных машинах?

    циска 192.168.0.151

    Но кажется я разобрался, дело было в локальной маршрутизации со стороны дружественной сети.
    Ещё момент остался не решенный. Будет ли работать теперь интернет, если WAN2 станет основным шлюзом? Нужно добавить в нат еще правило для этого небось?



  • 2 ton
    Скрины NAT, fw на pf покажите пож-та



  • @werter:

    2 ton
    Скрины NAT, fw на pf покажите пож-та






  • Для прохождения пакетов из сети в сеть без изменения ip-адреса отправителя нужно поставить галку на NO NAT в создаваемом правиле NAT.
    И поставить его повыше (по ситуации). Ниже же будут правила NAT , касающиеся выхода лок. сети в Интернет\etc.


Log in to reply