Назад | Перейти на главную страницу

Pfsense multi site-to-site wan с маршрутизацией на основе политик

Мы хотим создать гибридный сайт с несколькими WAN для соединения двух (и более?) Удаленных офисов.

У офиса есть два WAN-соединения со штаб-квартирой. Один MPLS и одно обычное Интернет-соединение. В конечном итоге маршрутизация на основе политик должна использовать оба соединения (например, отправлять важный трафик, такой как VoIP, через MPLS, а все остальное - по более дешевой линии)

Мы хотим отправлять трафик по каждому интерфейсу только в зашифрованном виде по каждому проводу, поэтому позже мы создадим соединение IPSec или OpenVPN для каждой ссылки. В целях тестирования мы начали с туннеля GRE. Обе стороны видят и могут общаться друг с другом. Мы определили по два шлюза с каждой стороны на устройствах pfsense. Каждый с IP-адресом GRE удаленного устройства pfsense. Мы также поместили их в группу шлюзов и настроили разные уровни. После этого мы создали плавающее правило, которое сопоставляет входящий трафик на стороне LAN с удаленной сетью и отправляет его в группу шлюзов. Это работает, как ожидалось, с обеих сторон. Но удаленная сторона, которая получает пакет, делает что-то не так. Pflog сообщает нам, что состояние создается с помощью правила по умолчанию в интерфейсе GRE (соответствует GRE0). Мы также видим трафик на удаленном хосте, и он отвечает, но по неизвестной причине трафик не возвращается через туннель. Такое впечатление, что устройство pfsense как-то забывает / игнорирует состояние? (Требуется дальнейшее расследование)

Я не могу представить конфигурацию, поскольку пишу это из дома, а машины находятся в нашем офисе (в настоящее время в лабораторной среде). Мы видим, что пакеты приходят на удаленный сайт и сервер, но возвращаются к отправителю. Насколько я понимаю, пакет должен автоматически возвращаться на тот шлюз, на который он прибыл, поскольку там создается состояние. Но я также читал, что правило перенаправления в pf также должно иметь правило возврата на другой стороне. Но такого правила не нашлось в pfctl -sr. И никакой опции в de pfsense webgui.

Мы здесь не делаем NAT!

Я был бы признателен за любые идеи о том, как люди решили такую ​​установку, и что я мог сделать не так?

Мне очень жаль, что я не могу предоставить больше информации, но я пытаюсь решить не личную проблему в свое личное время :)

Измените «Тип состояния» на «Нет» в расширенных настройках плавающего правила, используемого для направления трафика к группе шлюзов.