У нас есть два офиса, подключенных через Gateway-Gateway VPN
DC1[192.168.0.101]---RV082(A)[192.168.0.1]---[VPN]---RV082(B)[192.168.3.1]---pfSense[192.168.3.100]---DC2[192.168.1.2]
DC2 может нормально подключаться к DC1, используя частный IP-адрес 192.168.0.101. Конечно, это работает, потому что DC2 отправляет весь трафик на pfSense в качестве шлюза, а PFSense отправляет трафик на локальный RV082B. Есть маршрут из-за VPN.
Проблема, с которой мы сталкиваемся, заключается в том, что брандмауэр филиала не знает подсеть, стоящую за pfSense.
Как-то нам нужно добавить маршрут от брандмауэра филиала, чтобы он знал, куда отправлять трафик.
В основном мы просто хотим иметь возможность пинговать, RDP и т. Д. К 192.168.1.2 и DC2, являющимся получателем. Это проблема сейчас, когда у нас есть pfSense. Это почти как если бы у нас было два межсетевых экрана. Мы не знаем, что делать, потому что на самом деле мы установили pfSense только из-за его возможностей адаптивного портала.
Здесь несколько вопросов, смешанных в одну.
Если DC2 может проверить связь с DC1, но не наоборот, то вполне вероятно, что брандмауэр pfSense маскирует сеть 192.168.1.0/24 за ним. Это может привести к ситуации, когда в остальной части сети пакеты, исходящие от DC2, будут выглядеть так, как если бы они были отправлены на 192.168.3.100. Когда они возвращаются туда, брандмауэр захватывает их, выполняет демаскарад, и все в порядке.
Однако теперь это создает проблему, потому что для мира за пределами 192.168.1.0/24 эта сеть стала немаршрутизируемой. Поскольку все задействованные сети в любом случае являются частными, я бы предложил удалить маскировку и просто установить брандмауэр и некоторую правильную маршрутизацию.
Rv082 (A) не знает о существовании сети 192.168.1.0/24, поскольку она скрыта за межсетевым экраном pfSense. Итак, первое, что нужно сделать, это поместить в это устройство статический маршрут, сообщающий ему направлять весь трафик для 192.168.1.0/24 в туннель VPN.
Теперь убедитесь, что в брандмауэре pfSense установлены только необходимые фильтры. и все NAT отключено.
Если по какой-либо причине вы не можете или не хотите удалить маскировку, вам придется создать правила переадресации портов в pfSense для каждого отдельного устройства и службы, которые должны быть доступны извне. И вам нужно запустить разделенный DNS, потому что одни и те же имена теперь должны разрешаться в разные IP-адреса в зависимости от того, где находится клиент. Это может очень быстро стать беспорядочным, и я бы рекомендовал не делать этого, если действительно нет другого выбора.
Если вам не нравится статическая маршрутизация, вы также можете включить RIP или OSPF в pfSense (не уверен, есть ли у него эти функции) и на устройствах RV082 (если они есть), но тогда эти ответы получат много длиннее, поэтому сначала попробуйте статическую маршрутизацию.