RI
Вот эта запись совершенно непонятна...
Size: a a a
2020 August 29
3
Съездил, поднял с нуля машину и сразу настроил VIPs, заработал и видит сеть за циской, осталось правила прописать - пока с компов не видно удаленную сетку
RI
38609
Съездил, поднял с нуля машину и сразу настроил VIPs, заработал и видит сеть за циской, осталось правила прописать - пока с компов не видно удаленную сетку
И не увидят.... Циска не знает о существовании твоей сети 192.168.7.0/24... И если на нее нет доступа что б прописать маршрут на ПФ, то только pat на ПФ.
А
И не увидят.... Циска не знает о существовании твоей сети 192.168.7.0/24... И если на нее нет доступа что б прописать маршрут на ПФ, то только pat на ПФ.
Циска ланам в его сети как она о ней не знает...
RI
Циска ланам в его сети как она о ней не знает...
У нее другой ИП. - 10.18.48.81, а его сеть 192.168.7.0... из-за чего и мутится весь сырбор.
S
подскажите плз , есть настроенный мобильный клиент , подключаюсь к нему без проблем , вижу все локальные сети и т.д.
S
на этом же сервере есть ikev2 линки к другим шлюзам
S
как через подключение мобильного клиента получить доступ в локалки за другими тунелями ?
DS
зачем вы скрины трете? чтобы еще больше запутаться? у него был маршрут в интерфейс до цыски, который розовым обвели. это был non local gateway - который и обеспечивает связь на L2
по сути цыска не запустит в туннель 192.168.7.0, она хочет 10.18.48.80, поэтому:
1. Завести VIP из диапазона 10.18.48.80/28
2. Создать gateway на LAN интерфейсе с адресом шлюза 10.18.48.81 (адрес цыски) и в advanced поставить non local gateway
3 Сделать Outbound NAN на LAN c source 192.168.7.0, а NAT Address = VIP
по сути цыска не запустит в туннель 192.168.7.0, она хочет 10.18.48.80, поэтому:
1. Завести VIP из диапазона 10.18.48.80/28
2. Создать gateway на LAN интерфейсе с адресом шлюза 10.18.48.81 (адрес цыски) и в advanced поставить non local gateway
3 Сделать Outbound NAN на LAN c source 192.168.7.0, а NAT Address = VIP
RI
зачем вы скрины трете? чтобы еще больше запутаться? у него был маршрут в интерфейс до цыски, который розовым обвели. это был non local gateway - который и обеспечивает связь на L2
по сути цыска не запустит в туннель 192.168.7.0, она хочет 10.18.48.80, поэтому:
1. Завести VIP из диапазона 10.18.48.80/28
2. Создать gateway на LAN интерфейсе с адресом шлюза 10.18.48.81 (адрес цыски) и в advanced поставить non local gateway
3 Сделать Outbound NAN на LAN c source 192.168.7.0, а NAT Address = VIP
по сути цыска не запустит в туннель 192.168.7.0, она хочет 10.18.48.80, поэтому:
1. Завести VIP из диапазона 10.18.48.80/28
2. Создать gateway на LAN интерфейсе с адресом шлюза 10.18.48.81 (адрес цыски) и в advanced поставить non local gateway
3 Сделать Outbound NAN на LAN c source 192.168.7.0, а NAT Address = VIP
Скрин вытер по просьбе tc.
RI
зачем вы скрины трете? чтобы еще больше запутаться? у него был маршрут в интерфейс до цыски, который розовым обвели. это был non local gateway - который и обеспечивает связь на L2
по сути цыска не запустит в туннель 192.168.7.0, она хочет 10.18.48.80, поэтому:
1. Завести VIP из диапазона 10.18.48.80/28
2. Создать gateway на LAN интерфейсе с адресом шлюза 10.18.48.81 (адрес цыски) и в advanced поставить non local gateway
3 Сделать Outbound NAN на LAN c source 192.168.7.0, а NAT Address = VIP
по сути цыска не запустит в туннель 192.168.7.0, она хочет 10.18.48.80, поэтому:
1. Завести VIP из диапазона 10.18.48.80/28
2. Создать gateway на LAN интерфейсе с адресом шлюза 10.18.48.81 (адрес цыски) и в advanced поставить non local gateway
3 Сделать Outbound NAN на LAN c source 192.168.7.0, а NAT Address = VIP
Так о чем и речь, без NAT/PAT не будет работать. С трансляцией будет.
DS
Скрин вытер по просьбе tc.
вот оно что.. еще забыл:
DS
4 сделать на pfSense маршрут в сеть удаленной организации через созданный gateway
RI
4 сделать на pfSense маршрут в сеть удаленной организации через созданный gateway
Это уже все сделано... С самого ПФ все ходит... А что б с машин 192.168.7.0/24 сети ходило надо NAT/PAT
DS
IPSEC не запустит в туннель сети, которые не прописаны в phase2, поэтому адрес User PC должен быть прописан там на всех 3 pfSense. Во-вторых, маршрутизация. pfSense2-3 должны знать, что User PC находится за pfSense1
S
IPSEC не запустит в туннель сети, которые не прописаны в phase2, поэтому адрес User PC должен быть прописан там на всех 3 pfSense. Во-вторых, маршрутизация. pfSense2-3 должны знать, что User PC находится за pfSense1
Phase 2 прописана полностью, можно второй пункт подробнее ?
S
Или Вы про phase2 на туннелях к pf 2 и pf 3
S
Т.е. надо добавить в tun в phase2 сеть user?
DS
В таблицах машрутизации всех pfSense должны быть записи с адресом User PC, иначе, даже если пакет от него достигнет pfSense2-3, они просто не будут знать куда слать ответ. Нужны маршруты. Второе, IPSEC действует как перехватчик, если в phase2 не прописаны соответствующие Local Network-Remote Network, то этот трафик в туннель не пойдет