Pfsense, OpenVPN
-
Добрый день.
имеются 2 сервера с pfsense размещенных в Офис1 и Офис2
Офис1:
сервер1:
LAN1 192.168.100.0/24
DMZ1 192.168.200.0/24Офис2:
сервер2:
LAN2 192.168.150.0/24Настроен openvpn туннель (site-to-site) между сервер1 и сервер2 - 10.10.0.0/24
так же настроен openvpn Remote access доступ к сервер1 - 10.0.0.0/24
Трафик из LAN сервер1 в LAN сервер2 успешно ходит туда и обратно.
кроме всего этого в Офис1 проведена вторая линия интернет для vpn туннеля с другим подразделением ( сеть 172.10.10.0/16) , шлюз Cisco asa, локальный адрес в сети 192.168.100.100, т .е расположен в LAN1 сервер1.
Маршрутизация в сеть 172.10.10.0/16 настроена на LAN1 сервере1 - через 192.168.100.100.
Трафик на циске разрешен для сети LAN1 - проблем с доступом в 172.10.10.0/16 из LAN1 нет.
Для остальных сетей хождение трафика на циске не настраивалось, поэтому пока он невозможен.
Так как адреса остальных сетей, которые проходят через сервер1 не подменяется , возникает вопрос , как настроить маскарадинг на pfsense ? Или скрыть за натом , если это возможно.
Чтобы был доступ в 172.10.10.0/16 и с LAN2 другого офиса и при подключении openvpn Remote access для адресов 10.0.0.0/24
Настроить циску нет возможности - она не в нашем владении.
Буду благодарен за помощь.
-
Добрый.
Для того, чтобы увидеть "реальные" адреса :- поставьте точку на Hybrid Outbound NAT rule generation в Firewall: NAT: Outbound;
- добавьте руками правило ниже в Mappings, в к-ом отключите NAT для нужных Вам сетей (галка на Do not NAT)
Или NAT-те на тот адрес, к-ый Вам необходим - пункт Translation
P.s. Рисуйте схему с адресацией.
-
Добрый.
Для того, чтобы увидеть "реальные" адреса :- поставьте точку на Hybrid Outbound NAT rule generation в Firewall: NAT: Outbound;
- добавьте руками правило ниже в Mappings, в к-ом отключите NAT для нужных Вам сетей (галка на Do not NAT)
Или NAT-те на тот адрес, к-ый Вам необходим - пункт Translation
P.s. Рисуйте схему с адресацией.
Видимо, версия pfsense у нас более старая, нет Hybrid Outbound NAT.
В связи с этим возник вопрос, насколько безопасно обновление с 2.1.5-RELEASE до 2.2.6-RELEASE через веб морду ? Не слетят ли правила и прочие настройки ?
-
В связи с этим возник вопрос, насколько безопасно обновление с 2.1.5-RELEASE до 2.2.6-RELEASE через веб морду ? Не слетят ли правила и прочие настройки ?
Не должны. Но на всякий случай - бэкап настроек перед обновлением и, по желанию, full backup (2.1.5 вроде тоже предлагает перед обновлением) либо дистрибутив 2.1.5 отсюда
http://files.nyi.pfsense.org/mirror/downloads/old/ -
Не должны. Но на всякий случай - бэкап настроек перед обновлением и, по желанию, full backup (2.1.5 вроде тоже предлагает перед обновлением) либо дистрибутив 2.1.5 отсюда
Вот напишите, пожалуйста, какой чудный експириенс поимели.
Удаленка? ммм, предвкушаю хорошую историю.. -
Вот напишите, пожалуйста, какой чудный експириенс поимели.
Если вы мне -
Обновлял вообще 2.0.3 до 2.2.5. Все прошло на удивление гладко.
Однако чистая установка 2.2.х и подсовывание ей конфига от 2.0.3 роняет систему.Удаленка? ммм, предвкушаю хорошую историю..
Поговорка:
Удаленное администрирование роутера - к дальней дороге. -
2 pigbrother
Примета же, примета ;D
-
2 pigbrother
Примета же, примета ;D
Да, точно.
Кстати всегда интересовало, что будет если после сохранения правила, например, не нажать появляющуюся кнопку "Apply"? По идее это оставляет возможность откатить изменения?
-
2 pigbrother
Примета же, примета ;D
Да, точно.
Кстати всегда интересовало, что будет если после сохранения правила, например, не нажать появляющуюся кнопку "Apply"? По идее это оставляет возможность откатить изменения?
Файл (загрузочного) конфига не перезапишется новыми данными (?). Похоже, что имеется временный файл\копия конфига.
Или в ОЗУ "живет" до нажатия Аппли, но не факт, так как если перезагр. пф с ненажатой Аппли, то после загрузки он всё также просит нажать эту кнопку. -
так как если перезагр. пф с ненажатой Аппли, то после загрузки он всё также просит нажать эту кнопку.
Именно!
