https://www.opennet.dev/openforum/vsluhforumID1/97734.html Здравствуйте!<br><br>Нужно подключиться к удаленному ресурсу через IPSec туннель.<br>Есть компьютер с установленной PFSense, создал туннель (Routed VTI):<br><br>Удаленный пир - 10.179.10.10<br>локальная подсеть - 10.209.10.10/29<br>удаленная подсеть - 10.176.40.0/24<br><br>туннель создался, ошибок нет.<br><br>Потом назначил интерфейс к созданному туннелю - OPT2 и включил его.<br><br>В файерволе IPSec разрешил все протоколы.<br><br>Могу пропинговать с машины с PFSense с интерфейса OPT2 ресурсы в удаленной сети.<br><br>Теперь добавляю статический маршрут - 10.176.40.0 -&gt; OPT2_VTIV4-10.179.10.10<br><br>Но из локальной сети (и любых других интерфейсов кроме OPT2 на PFSense) не могу пропинговать ничего в удаленной подсети...<br><br>В файрволе в IPSec счетчики по нулям.<br><br>Подскажите кто настраивал такое, что еще нужно для корректной работы?<br> https://www.opennet.dev/openforum/vsluhforumID1/97734.html#11 Wed, 02 Jun 2021 13:54:24 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; сетей соотвественно?<br>&gt;&gt; Нет, дефолтный GW не в туннель. В туннель только часть трафика <br>&gt; Да не про это в локальной сети fpsence = GW? в удаленной <br>&gt; подсети их девайс = GW? если да проблем нет, если нет <br>&gt; то в своей сети пропишите на локальных компах маршрут до удаленной <br>&gt; через свой pfsence. В удаленной сети, если тоже нет, прописать на <br>&gt; локальных компах маршрут в Вашу сеть через из "стройство". Не нужно <br>&gt; подымать ни какого интерфейса и прописывать на "роутерах" какие либо маршруты, <br>&gt; наты и т.д. Это не работает. Это "чистый" ipsec, не вложенный <br>&gt; в какой либо ppp.<br><br>Нет GW не совпадают. Попробую маршрутами с локальных компов. Спасибо!<br> https://www.opennet.dev/openforum/vsluhforumID1/97734.html#10 Wed, 02 Jun 2021 13:40:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Из своей локальной сети могу пропинговать только локальную сеть заданную в настройках <br>&gt;&gt;&gt; IPSec.<br>&gt;&gt;&gt; С PFsense могу пропинговать и ресурсы в удаленной сети, но только с <br>&gt;&gt;&gt; одного интерфейса - того, с которым сопряжен IPSec туннель <br>&gt;&gt; Не понятно зачем вообще создавать интерфейс и прописывать маршрутизацию. Если сосздавался <br>&gt;&gt; site-by-site то при создание уже указывалисть локальная и удаленная подсеть и <br>&gt;&gt; этого достаточно что бы все работало, при условия что "концы" туннеля <br>&gt;&gt; в своих подсетях указаны как GW или как GW для удаленных <br>&gt;&gt; сетей соотвественно?<br>&gt; Нет, дефолтный GW не в туннель. В туннель только часть трафика <br><br>Да не про это в локальной сети fpsence = GW? в удаленной подсети их девайс = GW? если да проблем нет, если нет то в своей сети пропишите на локальных компах маршрут до удаленной через свой pfsence. В удаленной сети, если тоже нет, прописать на локальных компах маршрут в Вашу сеть через из "стройство". Не нужно подымать ни какого интерфейса и проп https://www.opennet.dev/openforum/vsluhforumID1/97734.html#9 Wed, 02 Jun 2021 13:33:23 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Нет, не хочет...<br>&gt;&gt; Из своей локальной сети могу пропинговать только локальную сеть заданную в настройках <br>&gt;&gt; IPSec.<br>&gt;&gt; С PFsense могу пропинговать и ресурсы в удаленной сети, но только с <br>&gt;&gt; одного интерфейса - того, с которым сопряжен IPSec туннель <br>&gt; Не понятно зачем вообще создавать интерфейс и прописывать маршрутизацию. Если сосздавался <br>&gt; site-by-site то при создание уже указывалисть локальная и удаленная подсеть и <br>&gt; этого достаточно что бы все работало, при условия что "концы" туннеля <br>&gt; в своих подсетях указаны как GW или как GW для удаленных <br>&gt; сетей соотвественно?<br><br>Нет, дефолтный GW не в туннель. В туннель только часть трафика<br> https://www.opennet.dev/openforum/vsluhforumID1/97734.html#8 Wed, 02 Jun 2021 13:29:55 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; Нат правила создаются. Даже не знаю куда копать( <br>&gt;&gt;&gt; А тогда еще дурацкий такой вопрос - хождение трафика между интерфейсами разрешено?<br>&gt;&gt;&gt; А то тоже недавно голову сломал с vpn, когда забыл про gateway_enable="yes" <br>&gt;&gt; Хм, надо проверить! Завтра с утра займусь. Спасибо!<br>&gt;&gt; Надо проверить! Завтра с утра займусь! Спасибо!<br>&gt; Нет, не хочет...<br>&gt; Из своей локальной сети могу пропинговать только локальную сеть заданную в настройках <br>&gt; IPSec.<br>&gt; С PFsense могу пропинговать и ресурсы в удаленной сети, но только с <br>&gt; одного интерфейса - того, с которым сопряжен IPSec туннель <br><br>Не понятно зачем вообще создавать интерфейс и прописывать маршрутизацию. Если сосздавался site-by-site то при создание уже указывалисть локальная и удаленная подсеть и этого достаточно что бы все работало, при условия что "концы" туннеля в своих подсетях указаны как GW или как GW для удаленных сетей соотвественно?<br><br> https://www.opennet.dev/openforum/vsluhforumID1/97734.html#7 Fri, 28 May 2021 09:58:28 GMT &gt;&gt;&gt;&gt; Тогда больше ничего не нужно.<br>&gt;&gt;&gt;&gt; Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...<br>&gt;&gt;&gt; В файерволе вроде особо и ничего не нужно, запрещающих правил нет подходящих.<br>&gt;&gt;&gt; Нат правила создаются. Даже не знаю куда копать( <br>&gt;&gt; А тогда еще дурацкий такой вопрос - хождение трафика между интерфейсами разрешено?<br>&gt;&gt; А то тоже недавно голову сломал с vpn, когда забыл про gateway_enable="yes" <br>&gt; Хм, надо проверить! Завтра с утра займусь. Спасибо!<br>&gt; Надо проверить! Завтра с утра займусь! Спасибо!<br><br>Нет, не хочет...<br>Из своей локальной сети могу пропинговать только локальную сеть заданную в настройках IPSec.<br>С PFsense могу пропинговать и ресурсы в удаленной сети, но только с одного интерфейса - того, с которым сопряжен IPSec туннель<br> https://www.opennet.dev/openforum/vsluhforumID1/97734.html#6 Thu, 27 May 2021 14:54:52 GMT &gt;&gt;&gt; Тогда больше ничего не нужно.<br>&gt;&gt;&gt; Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...<br>&gt;&gt; В файерволе вроде особо и ничего не нужно, запрещающих правил нет подходящих.<br>&gt;&gt; Нат правила создаются. Даже не знаю куда копать( <br>&gt; А тогда еще дурацкий такой вопрос - хождение трафика между интерфейсами разрешено? <br>&gt; А то тоже недавно голову сломал с vpn, когда забыл про gateway_enable="yes" <br><br>Хм, надо проверить! Завтра с утра займусь. Спасибо!<br><br>Надо проверить! Завтра с утра займусь! Спасибо!<br><br><br> https://www.opennet.dev/openforum/vsluhforumID1/97734.html#5 Thu, 27 May 2021 14:48:37 GMT &gt;&gt; Тогда больше ничего не нужно.<br>&gt;&gt; Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...<br>&gt; В файерволе вроде особо и ничего не нужно, запрещающих правил нет подходящих. <br>&gt; Нат правила создаются. Даже не знаю куда копать( <br><br>А тогда еще дурацкий такой вопрос - хождение трафика между интерфейсами разрешено? <br>А то тоже недавно голову сломал с vpn, когда забыл про gateway_enable="yes"<br><br><br> https://www.opennet.dev/openforum/vsluhforumID1/97734.html#4 Thu, 27 May 2021 14:06:16 GMT &gt;&gt;&gt;&gt; Подскажите кто настраивал такое, что еще нужно для корректной работы?<br>&gt;&gt;&gt; NAT?<br>&gt;&gt; Это маршрутизируемый режим, после добавления статического маршрута записи в нат он сам <br>&gt;&gt; создает <br>&gt; Тогда больше ничего не нужно.<br>&gt; Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat... <br><br>В файерволе вроде особо и ничего не нужно, запрещающих правил нет подходящих. Нат правила создаются. Даже не знаю куда копать(<br> https://www.opennet.dev/openforum/vsluhforumID1/97734.html#3 Thu, 27 May 2021 13:50:59 GMT &gt;&gt;&gt; Подскажите кто настраивал такое, что еще нужно для корректной работы?<br>&gt;&gt; NAT?<br>&gt; Это маршрутизируемый режим, после добавления статического маршрута записи в нат он сам <br>&gt; создает <br><br>Тогда больше ничего не нужно.<br><br>Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...<br><br><br>