Почему подсетки не видят друг друга?

Question

[Алексей Кухаричев]

Всем привет. Есть вопрос наболевший.
Имется прямой канал между двумя пфсенсами (не впн). За первым пфсенсом сетка 192.168.x.x/22 шлюз на сенсе х.х.х.1, за вторым пфсенсом 192.168.5.y/24 шлюз на сенсе х.х.х.2. Маршрутизация между шлюзами прописана статикой, внутренняя маршрутизация тоже есть, но ни пинги, ни трассировки не доходят до внутренней сети. Внутренний снифер не показывает ровным счётом ничего. Т.е. он видит пакеты, но до места назначения они не доходят. Скажите что прислать подробней - пришлю. Спасибо заранее.

Comments

[ky0]

Поменьше иксов, для начала.

[hint000]

ky0, тоже подумал, что диапазоны адресов могут пересекаться.

[Nday001]

Если твоя сеть "X" 192.168.4.0/22, то первый адрес 192.168.4.1, а последний 192.168.7.254, соответственно, диапазоны пересекаются и пакеты из сети y в сеть x приходят, а наоборот - нет.

Напиши адреса полностью. Лучше, приложи схему сети, по твоему описанию, у тебя 2 Pfsense соединены патчкордом между собой и каждый pfsense соединен со своим шлюзом.

[Алексей Кухаричев]

Nday001, 192.168.0.0/22 192.168.5.0/24
Да, всё верно, по сути как будто патчкордом, на каждом свой шлюз. Нет, диапазоны не пересекаются.

192.168.0.0/22 -> gate1 <--> gate2 <- 192.168.5.0/24
в правилах уже разрешили всё везде, но нифига не ходит.

[Nday001]

Алексей Кухаричев, у тебя соединение pfsense "патчкордом" тоже образует некую сеть и на этих интерфейсах pfsense, которые "смотрят друг на друга" через патчкорд есть свои ip адреса. Какие там адреса?
Там не должны использоваться адреса из диапазона твоих локальных сетей (192.168.0.1 - 192.168.5.254).

[Алексей Кухаричев]

Nday001, конечно, там другое всё. 10.100.100.1 и 10.100.100.2. С внутренней сети на 10.100 маршруты есть.

[Nday001]

Алексей Кухаричев, А pfsense могут пинговать друг друга по этим адресам?

c pfsense с адресом 10.100.100.1 пинговать адрес 10.100.100.2

[Алексей Кухаричев]

Nday001, всё пингуется

[Алексей Кухаричев]

Nday001, из любой внутренней сети пингуются 10.100.100.1 и 2, пингуются 192.168.1.1 и 5.1 (вебки пфсенса), но дальше пинги не идут. Трассировка тоже.

[Nday001]

Если у тебя при такой схеме подключения не проходит пинг с "левого на схеме" PfSense до 192.168.5.2, то у тебя проблема именно с фаирволлом.
ICMP точно везде разрешен? А машине, которую ты пингуешь разрешен icmp?

[Алексей Кухаричев]

Nday001, суть передана верно, пинги идут до 0.1 с 5 лана, и до 5.1 с нулевого. Дальше почему-то всё пропадает. В правилах файрволла разрешено всё везде

[Алексей Кухаричев]

Nday001, получилось, заработало! Всё оказалось почему-то в проблеме явного указания гэйтвея в настройках интерфейса. Поставили в настройках дефолт и всё залетало. Странно это всё. Спасибо за помощь!

[Алексей Кухаричев]

Nday001, Напиши этот пост в поле ответа, признаю решением. В целом ты хорошо помог.

[Nday001]

Алексей Кухаричев, на каких интерфейсах был задан default gateway? На fe0 (на схеме выше)?

[Алексей Кухаричев]

Nday001, да

Answer 1

[iddqda]

не знаком с пфсен, но вроде бы это файрвол.
а в файрволах по умолчанию есть зоны (inside, outside, итп)
разные интерфейсы могут быть в разных зонах, например локалка в inside, а ваш прямой канал outside
опять же по умолчанию, очень часто разрешен проход пакетов в сторону inside -> outside
а вот политику ouside -> inside необходимо прописывать явно
ну или внутренний и внешний интерфейсы в одну зону сунуть

Comments

[Алексей Кухаричев]

правила вроде бы всё разрешают...

[fastboot]

Алексей Кухаричев, а тут что? а? Не хочешь мне кое что сказать?

Answer 2

[mumische]

Развернули бы х.х в 192.168.x.x/22. А то при определённых их значениях вторая сеть в неё целиком попадает.