Задать вопрос
@ziercool
pfsense

Почему не пингуется pfsense?

Всем доброго дня. Ситуация следующяя: имеем 2 pfsense за каждым своя локальная сеть.
Есть отдельный сервер в рунете, на котором поднят сервер Wireguard.

Итого
1. Wireguard server 172.31.0.1/24 (Сеть WG) (Назовём "Внешний")
2. Pfsense 172.31.0.2/24 (Сеть WG), 192.168.1.1/24 (LAN) (Назовём "Домашний")
3. Pfsense 172.31.0.3/24 (Сеть WG), 10.10.0.1/24 (LAN) (Назовём "Рабочий")

Какие и где маршруты указаны:
PfSense Домашний - 10.10.0.0/24 gw 172.31.0.1
Сервер внешний - 10.10.0.0/24 gw 172.31.0.3

В данный момент пытаюсь настроить в одну сторону.
Итого: Любой клиент из LAN (192.168.1.0/24) или сети WG (172.31.0.0/24) легко пингует и трассирует Рабочий pfsense по адресу "172.31.0.3". НО по адресу 10.10.0.1 Рабочий pfsense никак не пингуется из сети 172.31.0.0/24

Задача чтобы из сети pfsense отвечали 192.168.1.0/24 10.10.0.0/24, для начала разобраться бы почему "Рабочий" не отвечает на свой же адрес 10.10.0.1.

Я понимаю что скорее всего проблема где-то в фаерволле, но всё разрешено в обе стороны, может в pfsense есть еще какая-то скрытая педалька?)

Ну и я начитан что в хабре любят схемы, вот схема сети:

6799d49bc9075291743693.png
  • Вопрос задан
  • 38 просмотров
Комментировать
Подписаться 1 Средний Комментировать
Решения вопроса 1
@ziercool Автор вопроса
В общем, задал вопрос с которым почти неделю бился, и сам на него напишу решение.
Кроме настройки фаерволов в которых должно быть всё разрешено и прописи маршрутов на обоих PFSENSE и сервере WG необходимо еще в серверном конфиге wireguard в конкретном пире прописать AllowedIps.

Изначально в AllowedIps добавляется только адрес клиента. Например:

#Home
[Peer]
PublicKey = <public_client_key>
PresharedKey = <preshared_key>
AllowedIPs = 172.31.0.2/32

#Work
[Peer]
PublicKey = <public_client_key>
PresharedKey = <preshared_key>
AllowedIPs = 172.31.0.3/32


Но для того чтобы пакеты начали двигаться в другие подсети, необходимо у каждого клиента указать его внутренние LAN, т.е.:

#Home
[Peer]
PublicKey = <public_client_key>
PresharedKey = <preshared_key>
AllowedIPs = 172.31.0.2/32, 192.168.1.0/24>

#Work
[Peer]
PublicKey = <public_client_key>
PresharedKey = <preshared_key>
AllowedIPs = 172.31.0.3/32, 10.10.0.0/24


Повторюсь, Внутренние подсети необходимо прописать только тем клиентам, через которые мы коннектимся к подсетям, а не клиентам С которых.
Клиенты С которых необходимо подключиться в внутренним подсетям и которые напрямую подключены к серверу WG (мобильный телефон например) у них в клиентском необходимо разрешить подсети LAN 192.168.1.0/24 10.10.0.0/24
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Ведущий Python разработчик
СберМедИИ
от 300 000 ₽
1C Программист
Wanted. Санкт-Петербург
До 220 000 ₽
WebGL разработчик (three.js, 3D in web, webAR, webXR)
LikeVR Москва
от 150 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Написание отзыва
30 янв. 2025, в 16:41
3000 руб./за проект
Сайт на Wordpress с картой для объектов недвижимости
30 янв. 2025, в 16:35
25000 руб./за проект
Работы по сайту
30 янв. 2025, в 16:19
19000 руб./за проект
Ещё заказы