Здравствуйте!

Нужно подключиться к удаленному ресурсу через IPSec туннель.
Есть компьютер с установленной PFSense, создал туннель (Routed VTI):

Удаленный пир - 10.179.10.10
локальная подсеть - 10.209.10.10/29
удаленная подсеть - 10.176.40.0/24

туннель создался, ошибок нет.

Потом назначил интерфейс к созданному туннелю - OPT2 и включил его.

В файерволе IPSec разрешил все протоколы.

Могу пропинговать с машины с PFSense с интерфейса OPT2 ресурсы в удаленной сети.

Теперь добавляю статический маршрут - 10.176.40.0 -> OPT2_VTIV4-10.179.10.10

Но из локальной сети (и любых других интерфейсов кроме OPT2 на PFSense) не могу пропинговать ничего в удаленной подсети...

В файрволе в IPSec счетчики по нулям.

Подскажите кто настраивал такое, что еще нужно для корректной работы?

• PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense,Аноним, 14:32 , 27-Май-21
  • PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense,_John_, 14:36 , 27-Май-21
    • PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense,Аноним, 16:50 , 27-Май-21
      • PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense,_John_, 17:06 , 27-Май-21
        • PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense,Аноним, 17:48 , 27-Май-21
          • PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense,John_, 17:54 , 27-Май-21
            • PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense,_John_, 12:58 , 28-Май-21
              • PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense,kobaspam, 16:29 , 02-Июн-21
                • PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense,_John_, 16:33 , 02-Июн-21
                  • PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense,kobaspam, 16:40 , 02-Июн-21
                    • PFSense. Маршрутизация в удаленную сеть. Routed IPSec в PFSense,_John_, 16:54 , 02-Июн-21

> Подскажите кто настраивал такое, что еще нужно для корректной работы?

NAT?

>> Подскажите кто настраивал такое, что еще нужно для корректной работы?
> NAT?

Это маршрутизируемый режим, после добавления статического маршрута записи в нат он сам создает

>>> Подскажите кто настраивал такое, что еще нужно для корректной работы?
>> NAT?
> Это маршрутизируемый режим, после добавления статического маршрута записи в нат он сам
> создает

Тогда больше ничего не нужно.

Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...

>>>> Подскажите кто настраивал такое, что еще нужно для корректной работы?
>>> NAT?
>> Это маршрутизируемый режим, после добавления статического маршрута записи в нат он сам
>> создает
> Тогда больше ничего не нужно.
> Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...

В файерволе вроде особо и ничего не нужно, запрещающих правил нет подходящих. Нат правила создаются. Даже не знаю куда копать(

>> Тогда больше ничего не нужно.
>> Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...
> В файерволе вроде особо и ничего не нужно, запрещающих правил нет подходящих.
> Нат правила создаются. Даже не знаю куда копать(

А тогда еще дурацкий такой вопрос - хождение трафика между интерфейсами разрешено?
А то тоже недавно голову сломал с vpn, когда забыл про gateway_enable="yes"

>>> Тогда больше ничего не нужно.
>>> Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...
>> В файерволе вроде особо и ничего не нужно, запрещающих правил нет подходящих.
>> Нат правила создаются. Даже не знаю куда копать(
> А тогда еще дурацкий такой вопрос - хождение трафика между интерфейсами разрешено?
> А то тоже недавно голову сломал с vpn, когда забыл про gateway_enable="yes"

Хм, надо проверить! Завтра с утра займусь. Спасибо!

Надо проверить! Завтра с утра займусь! Спасибо!

>>>> Тогда больше ничего не нужно.
>>>> Смотри правила файрвола, смотри, создаются ли пресловутые динамические правила nat...
>>> В файерволе вроде особо и ничего не нужно, запрещающих правил нет подходящих.
>>> Нат правила создаются. Даже не знаю куда копать(
>> А тогда еще дурацкий такой вопрос - хождение трафика между интерфейсами разрешено?
>> А то тоже недавно голову сломал с vpn, когда забыл про gateway_enable="yes"
> Хм, надо проверить! Завтра с утра займусь. Спасибо!
> Надо проверить! Завтра с утра займусь! Спасибо!

Нет, не хочет...
Из своей локальной сети могу пропинговать только локальную сеть заданную в настройках IPSec.
С PFsense могу пропинговать и ресурсы в удаленной сети, но только с одного интерфейса - того, с которым сопряжен IPSec туннель

>[оверквотинг удален]
>>>> Нат правила создаются. Даже не знаю куда копать(
>>> А тогда еще дурацкий такой вопрос - хождение трафика между интерфейсами разрешено?
>>> А то тоже недавно голову сломал с vpn, когда забыл про gateway_enable="yes"
>> Хм, надо проверить! Завтра с утра займусь. Спасибо!
>> Надо проверить! Завтра с утра займусь! Спасибо!
> Нет, не хочет...
> Из своей локальной сети могу пропинговать только локальную сеть заданную в настройках
> IPSec.
> С PFsense могу пропинговать и ресурсы в удаленной сети, но только с
> одного интерфейса - того, с которым сопряжен IPSec туннель

Не понятно зачем вообще создавать интерфейс и прописывать маршрутизацию. Если сосздавался site-by-site то при создание уже указывалисть локальная и удаленная подсеть и этого достаточно что бы все работало, при условия что "концы" туннеля в своих подсетях указаны как GW или как GW для удаленных сетей соотвественно?

>[оверквотинг удален]
>> Нет, не хочет...
>> Из своей локальной сети могу пропинговать только локальную сеть заданную в настройках
>> IPSec.
>> С PFsense могу пропинговать и ресурсы в удаленной сети, но только с
>> одного интерфейса - того, с которым сопряжен IPSec туннель
> Не понятно зачем вообще создавать интерфейс и прописывать маршрутизацию. Если сосздавался
> site-by-site то при создание уже указывалисть локальная и удаленная подсеть и
> этого достаточно что бы все работало, при условия что "концы" туннеля
> в своих подсетях указаны как GW или как GW для удаленных
> сетей соотвественно?

Нет, дефолтный GW не в туннель. В туннель только часть трафика

>[оверквотинг удален]
>>> Из своей локальной сети могу пропинговать только локальную сеть заданную в настройках
>>> IPSec.
>>> С PFsense могу пропинговать и ресурсы в удаленной сети, но только с
>>> одного интерфейса - того, с которым сопряжен IPSec туннель
>> Не понятно зачем вообще создавать интерфейс и прописывать маршрутизацию. Если сосздавался
>> site-by-site то при создание уже указывалисть локальная и удаленная подсеть и
>> этого достаточно что бы все работало, при условия что "концы" туннеля
>> в своих подсетях указаны как GW или как GW для удаленных
>> сетей соотвественно?
> Нет, дефолтный GW не в туннель. В туннель только часть трафика

Да не про это в локальной сети fpsence = GW? в удаленной подсети их девайс = GW? если да проблем нет, если нет то в своей сети пропишите на локальных компах маршрут до удаленной через свой pfsence. В удаленной сети, если тоже нет, прописать на локальных компах маршрут в Вашу сеть через из "стройство". Не нужно подымать ни какого интерфейса и прописывать на "роутерах" какие либо маршруты, наты и т.д. Это не работает. Это "чистый" ipsec, не вложенный в какой либо ppp.

>[оверквотинг удален]
>>> сетей соотвественно?
>> Нет, дефолтный GW не в туннель. В туннель только часть трафика
> Да не про это в локальной сети fpsence = GW? в удаленной
> подсети их девайс = GW? если да проблем нет, если нет
> то в своей сети пропишите на локальных компах маршрут до удаленной
> через свой pfsence. В удаленной сети, если тоже нет, прописать на
> локальных компах маршрут в Вашу сеть через из "стройство". Не нужно
> подымать ни какого интерфейса и прописывать на "роутерах" какие либо маршруты,
> наты и т.д. Это не работает. Это "чистый" ipsec, не вложенный
> в какой либо ppp.

Нет GW не совпадают. Попробую маршрутами с локальных компов. Спасибо!