Здравствуйте. Устанавливаем мегафоновские фемтосоты для улучшения качества покрытия. Сота имеет адрес 192.168.14.x, цепляется через микhотик по нетегированному провайдерскому влану к главному офису. Приходит уже тегированным трафиком в офис на pfsense. Дальше c pfsense уходит в интернет на какие-то там мегафоновские сервера. Соединение с ними она пытается по ipsec установить. Файрволл ее адрес выпускает без ограничений. Если поставить комп на ее место, то проблем с интернетом у него нет.
И нифига установить не может. Подробности что там у нее не получается найти негде - сота своих логов не предоставляет, доступа к ней нет, только адрес могу сменить по dhcp. tcpdump показывает исходящие пакеты от нее и отсутствие пакетов к ней.
В outbound nat у pfsense установлено " Manual Outbound NAT rule generation (AON - Advanced Outbound NAT)". И правило для этой сетки. Static Port на все адреса - YES.
Экспериментальным путем выяснилось, что если переставить галку в «Automatic outbound NAT rule generation (IPsec passthrough included)» сота заводится, tcpdump показывает прохождение большого количества пакетов в обе стороны. Однако, такая конфигурация приводит к проблемам с ip-связью - односторонняя связь при звонках некоторыми транками того же мегафона. Что именно делает это переключение? Как организовать соте работу без него?