LINUX.ORG.RU

pf sense, исходящий nat для фемтосоты.

 ,


0

1

Здравствуйте. Устанавливаем мегафоновские фемтосоты для улучшения качества покрытия. Сота имеет адрес 192.168.14.x, цепляется через микhотик по нетегированному провайдерскому влану к главному офису. Приходит уже тегированным трафиком в офис на pfsense. Дальше c pfsense уходит в интернет на какие-то там мегафоновские сервера. Соединение с ними она пытается по ipsec установить. Файрволл ее адрес выпускает без ограничений. Если поставить комп на ее место, то проблем с интернетом у него нет.

И нифига установить не может. Подробности что там у нее не получается найти негде - сота своих логов не предоставляет, доступа к ней нет, только адрес могу сменить по dhcp. tcpdump показывает исходящие пакеты от нее и отсутствие пакетов к ней.

В outbound nat у pfsense установлено " Manual Outbound NAT rule generation (AON - Advanced Outbound NAT)". И правило для этой сетки. Static Port на все адреса - YES.

Экспериментальным путем выяснилось, что если переставить галку в «Automatic outbound NAT rule generation (IPsec passthrough included)» сота заводится, tcpdump показывает прохождение большого количества пакетов в обе стороны. Однако, такая конфигурация приводит к проблемам с ip-связью - односторонняя связь при звонках некоторыми транками того же мегафона. Что именно делает это переключение? Как организовать соте работу без него?



Последнее исправление: stabst (всего исправлений: 1)

Ответ на: комментарий от stabst

Вот в ручном NAT какраз можно правила для разных адресов и подсетей настраивать (сужу по скриншотам) и там для адресов вемтосот надо создать вручную те правила что создаются автоматом и поставить их первыми в списке или с Hybrid NAt играться (для адресов фемтосот пусть будут автоматически, для остальных руками сделать)

Kolins ★★★★
()
Ответ на: комментарий от Kolins

Да вот знать бы, что она там им создает автоматом…

Еще меня в автоматическом напрягает «IPsec passthrough included». Это типа, если в ручном, то никакого прохождения ipsec? Тогда понятно что ей не хватает - ipsec не заводится, сота не устанавливает коннект со своим vpn сервером.

stabst
() автор топика
Ответ на: комментарий от stabst

IPSec не любит NAT, там есть механизм NAT-T чтобы его пробивать, но это надо на самих участниках ipsec включать, а доступа туда нет.

https://forum.netgate.com/assets/uploads/files/1591263112624-nat-outbound.png он в авторежиме не пишет какие правила Auto created?

Kolins ★★★★
()
Ответ на: комментарий от Kolins

Вот что интересного касательно исходящего ната он создал.

nat on em1 inet from < tonatsubnets > port = isakmp to any port = isakmp -> внешний адрес port 500

nat on em1 inet from < tonatsubnets > to any -> внешний адрес port 1024:65535

nat on em2 inet from < tonatsubnets > port = isakmp to any port = isakmp -> внешний адрес 2 port 500

nat on em2 inet from < tonatsubnets > to any -> внешний адрес 2 port 1024:65535"

Похоже, вот это решает?

«nat on em1 inet from < tonatsubnets > port = isakmp to any port = isakmp -> внешний адрес port 500»

Как ему такое же попробовать дать в мануальные правила?

stabst
() автор топика
Ответ на: комментарий от stabst

«nat on em1 inet from < tonatsubnets > port = isakmp to any port = isakmp -> внешний адрес port 500»

Буквально тут написано что весь трафик с локальных адресов и 500 порта на любые адреса и 500 порт, натить на внешний адрес 500 порт.

Соотвтетственно:
Interface: WAN
Source: ip фемтосоты
Source port: 500
Destination: *
Destination port: 500
NAT Address: адрес с wan
NAT port: 500
Static port: yes

и поставить это правило раньше остальных

Kolins ★★★★
()