Разрыв при статической маршрутизации



  • Добрый день!
    Возможно данная тема уже поднималась, но я не смог найти никакой информации…
    Проблема в следующем: есть статичный маршрут в сеть 10.28.105.80/29. Под него создано правило в фаерволе. Хост в сети пингуется и есть соединение например через RAdmin, но примерно через две минуты radmin вылетает и приходится переподключаться. Пинги при этом не прерываются. Вопрос: с чем это может быть связано?
    И второстепенный вопрос: собираюсь поднять IPSec с удаленным офисом. Какие правила необходимо создать, чтобы удаленка видела хосты в данном статическом маршруте





  • Доброе.

    RAdmin, но примерно через две минуты radmin вылетает и приходится переподключаться. Пинги при этом не прерываются. Вопрос: с чем это может быть связано?

    Много с чем. От железа по пути, настроек ПО на удал. хосте до неправильных настроек на Pf.
    Логи pf смотрели ? Есть ли fw\антивирус на удал. клиенте ? Откл. их.

    И второстепенный вопрос: собираюсь поднять IPSec с удаленным офисом. Какие правила необходимо создать, чтобы удаленка видела хосты в данном статическом маршруте

    В настройках ipsec указать 10.28.105.80/29 как Local network , т.е. при поднятом туннеле  клиентам будет выдаваться маршрут в 10.28.105.80/29
    А так же разр. прохождение трафика в правилах fw на IPSec.

    P.s. Зачем вам radmin ? Чем открытое и бесплатное tightvnc не устраивает ? У меня в домене имеется скрипт (с исп. psexec), к-ый автоматом устанавливает tightvnc на машины пол-лей. Красота.



  • Много с чем. От железа по пути, настроек ПО на удал. хосте до неправильных настроек на Pf.
    Логи pf смотрели ? Есть ли fw\антивирус на удал. клиенте ? Откл. их.

    Просто сейчас все поднято на старом шлюзе под чистой FreeBCD и все все бегает нормально. В логах чисто - пинги-то идут без перерыва. С удаленным клиентом все несколько сложнее: хост и шлюз (Cisco) - не наши. Это оборудование поставщика - с ним идет синхронизация по продажам. Соответственно отключать что-либо там мы не можем. Вот пока и ищем косяк со своей стороны

    В настройках ipsec указать 10.28.105.80/29 как Local network , т.е. при поднятом туннеле  клиентам будет выдаваться маршрут в 10.28.105.80/29

    Тоесть создать 2 штуки Phase 2 - одну в нормальную локалку, вторую в 10.28.105.80?



  • Тоесть создать 2 штуки Phase 2 - одну в нормальную локалку, вторую в 10.28.105.80?

    Пробуйте.



  • Вопрос с разрывом закрыт! Проблема оказалась в асимметричной маршрутизации. Решается включением Bypass firewall rules for traffic on the same interface в System: Advanced: Firewall and NAT. Теперь будем экспериментировать с IpSec.

    Спасибо за помошь, по VPN отпишусь



  • С IpSec возникли проблемы. Само соединение поднялось, я вижу локальную сеть, но не могу пробиться к хостам в другой подсети. Создавать две Phase2 не помогает - нет соединения. Статический маршрут не прописывается в ручную ввиду особенностей IpSec. Похожий вопрос рассматривался здесь: https://forum.pfsense.org/index.php?topic=75233.0 , но решение небыло озвучено.

    Зарание спасибо за помощь!



  • Перешел на OpenVPN, все отлично маршрутизируется


Log in to reply