Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Прохождение пакетов между wan2 и lan без ната

    Russian
    3
    8
    1095
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      ton last edited by

      Доброго времени суток, дорогие форумчане! PFsense 2.1.5 я использую уже давно, и всем доволен.
      Есть WAN со статическим реальником.
      Есть LAN 192.168.21.0/24 откуда пользователи натятся автоматически.

      Всё шло хорошо, до тех пор, как мы не объединились с другой организацией, где у них своя сеть с блэкджеком и цисками.

      Вернее даже после этого всё шло не плохо, я добавил интерфейс WAN2 с выделенным мне адресом 192.168.0.245/24 и шлюзом 192.168.0.151. Это что бы в интернет выходить при случае падения основного канала. Запилил по инструкции группу шлюзов MultiWan. Протестировал - всё великолепно!

      Статических маршрутов у меня нет, доступ к дружеской сети я организовал через firewall:rules на интерфейсе LAN с указанием шлюза 192.168.0.151 (после тщательного изучения форума). На интерфейсе WAN2 только разрешающее правило всея для всех.

      Но вот однажды, сидя на их серваке (192.168.0.105) из своей сети по ssh сделав w я обратил внимание, что вижусь там как залогиненный с адреса 192.168.0.245. Хотя мой адрес из сети 192.168.21.0/24.

      Ага! Дело в NAT - подумал я и переключился на ручной нат, с единственным правилом натящим мою внутреннюю сетку 192.168.21.0/24 на WAN address.

      И вот тут началась мистика. Интернет, конечно не пропал, но сервер, где я успешно сидел по ssh (192.168.0.105) оказался вообще не пингуемым! Хотя другой сервер 192.168.0.188 пингуется успешно. И зайдя туда, я вижу себя уже от правильного ипишника (192.168.21.222 уррааа!). Так же перестала пинговаться вообще половина работающих хостов в сети 192.168.0.0/24.

      Конечно, я могу вновь переключиться на автоматический нат, но это не по мужски, так сказать, натить внутренние подсети.

      На циске 192.168.0.151 доступ в мою сеть организован простой строчкой ip route 192.168.21.0 255.255.255.0 192.168.0.245.
      Как быть? =(

      1 Reply Last reply Reply Quote 0
      • P
        pigbrother last edited by

        А на "непингуемых" в сети 192.168.0.0/24 компьютерах нет ли файрволла, блокирующего пакеты из чужих сетей?
        Для встроенного в Windows, например, создание разрешающего правила обязательно, без него нет ни пинга, ни доступа к сетевым ресурсам.

        1 Reply Last reply Reply Quote 0
        • T
          ton last edited by

          @pigbrother:

          А на "непингуемых" в сети 192.168.0.0/24 компьютерах нет ли файрволла, блокирующего пакеты из чужих сетей?
          Для встроенного в Windows, например, создание разрешающего правила обязательно, без него нет ни пинга, ни доступа к сетевым ресурсам.

          Нет, естественно, это я проверял. Машин много разных, в том числе и на линуксе, с выключенными ип-таблесами.

          1 Reply Last reply Reply Quote 0
          • P
            pigbrother last edited by

            А что указано шлюзом на недоступных машинах?

            1 Reply Last reply Reply Quote 0
            • T
              ton last edited by

              @pigbrother:

              А что указано шлюзом на недоступных машинах?

              циска 192.168.0.151

              Но кажется я разобрался, дело было в локальной маршрутизации со стороны дружественной сети.
              Ещё момент остался не решенный. Будет ли работать теперь интернет, если WAN2 станет основным шлюзом? Нужно добавить в нат еще правило для этого небось?

              1 Reply Last reply Reply Quote 0
              • werter
                werter last edited by

                2 ton
                Скрины NAT, fw на pf покажите пож-та

                1 Reply Last reply Reply Quote 0
                • T
                  ton last edited by

                  @werter:

                  2 ton
                  Скрины NAT, fw на pf покажите пож-та




                  1 Reply Last reply Reply Quote 0
                  • werter
                    werter last edited by

                    Для прохождения пакетов из сети в сеть без изменения ip-адреса отправителя нужно поставить галку на NO NAT в создаваемом правиле NAT.
                    И поставить его повыше (по ситуации). Ниже же будут правила NAT , касающиеся выхода лок. сети в Интернет\etc.

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post