Добрый день
Прошу помощи зала. Общая схема:
Площадка 1 (office): DFL-860E, LAN-интерфейс 192.168.5.254, локальная подсеть 192.168.5.0/24
Площадка 2 (dataline): DFL-260E, LAN-интерфейс 192.168.8.254, локальные подсети 192.168.8.0/24 и 192.168.2.0/24 (внутренний роутинг через L3-свитч)
между ними L2L IPSec туннель (в настройках IPSec local и remote сети заданы как 192.168.5.0/24 и 192.168.8.0/24, подсеть 2.0/24 отсутствует)
Картинка:
Нужно: прозрачная маршрутизация между всеми сетями
Проблема: сети 5 (площадка 1) и 2 (площадка 2) друг друга не видят, не могу понять почему.
Умозрительный трейс пакета из 5 в 2:
1. Пакет идет на дефолт гейтвей 5.254 (DFL)
2. Там правило
Allow dataline:192.168.8.0/24 -> lan:192.168.5.0/24 "all_tcpudpicmp"
и маршрут
192.168.2.0/24 dataline
(dataline - имя IPSec-интерфейса)
3. Пакет попадает на 8.254, принимается правилом:
Allow office:192.168.5.0/24 -> lan:192.168.2.0/24 "all_tcpudpicmp"
видит в списке маршрутов
192.168.2.0/24 lan 192.168.8.234
4. идет на L3 свич, который уже там маршрутизирует в подсеть 2.0
5. Попадает на машину в сети 2.0
6. Возвращается в L3 свич в котором дефолт гейтвеем указан 8.254 (DFL)
7. Пакет принимается 8.254 (DFL), т.к есть правило
Allow lan:192.168.2.0/24 office:192.168.5.0/24 "all_tcpudpicmp"
и отправляется на туннель т.к. есть маршрут
192.168.5.0/24 office
(office - имя IPSec-интерфейса)
8. Попадает на 5.254 и принимается, тк есть правило
Allow dataline:192.168.2.0/24 -> lan:192.168.5.0/24 "all_tcpudpicmp"
и маршрут
192.168.2.0/24 dataline
(dataline - имя IPSec-интерфейса)
9. Тут directly connected локальная сеть и он попадает на машину отправителя
Из моих экспериментов выявилось что если на 8.254 повесить правило
NAT lan:192.168.2.0/24 -> office:192.168.5.0/24 "all_tcpudpicmp"
то все начинало работать, но в одну сторону из 2.0 в 5.0
Если повесить симметричное правило на 5.254 ничего не работает
Но, собственно, натирование здесь не нужно.
Есть идея что проблема в том что сеть 2.0 не объявлена в туннеле, но в моем понимании маршрута должно хватать для того чтобы оно туда уходило.
ЧЯДНТ?
Настройки на 192.168.8.254
DFL-260E:/> route
Flags Network Iface Gateway Local IP Metric
----- ------------------ -------------- --------------- --------------- ------
255.255.255.248 wan 100
192.168.5.0/24 office 90
192.168.8.0/24 lan 100
192.168.2.0/24 lan 192.168.8.234 110
0.0.0.0/0 wan wan_gw 100
DFL-260E:/> rules
# Act. Source Protocol/Ports
Destination
-- ----- --------------------------------------------- --------------
1 NAT lan:192.168.8.0/24 wan:0.0.0.0/0 "all_tcpudpicmp"
2 NAT lan:192.168.2.0/24 wan:0.0.0.0/0 "all_tcpudpicmp"
3 Allow lan:192.168.8.0/24 office:192.168.5.0/24 "all_tcpudpicmp"
4 Allow office:192.168.5.0/24 lan:192.168.8.0/24 "all_tcpudpicmp"
5 Allow office:192.168.5.0/24 core:0.0.0.0/0 "all_services"
6 Allow lan:192.168.2.0/24 office:192.168.5.0/24 "all_tcpudpicmp"
7 Allow office:192.168.5.0/24 lan:192.168.2.0/24 "all_tcpudpicmp"
8 Allow lan:192.168.2.0/24, 192.168.8.0/24 lan:192.168.2.0/24, 192.168.8.0/24 "all_tcpudpicmp"
DFL-260E:/> vpnstats
--- Active IPsec SAs:
IPsec Tunnel Local Network Remote Network Remote Endpoint
------------------ ------------------ ------------------ ------------------
office 192.168.8.0/24 192.168.5.0/24 office_gw
Настройки на 192.168.5.254
DFL-860E:/> route
Flags Network Iface Gateway Local IP Metric
----- ------------------ -------------- --------------- --------------- ------
192.168.2.0/24 dataline 70
192.168.8.0/24 dataline 90
192.168.5.0/24 lan 100
0.0.0.0/0 wan wan_gw 90
DFL-860E:/> rules
# Act. Source Protocol/Ports
Destination
-- ----- --------------------------------------------- --------------
1 NAT lan:192.168.5.0/24 wan:0.0.0.0/0 "all_tcpudpicmp"
2 Allow lan:192.168.5.0/24 dataline:192.168.8.0/24 "all_tcpudpicmp"
3 Allow dataline:192.168.8.0/24 lan:192.168.5.0/24 "all_tcpudpicmp"
4 Allow lan:192.168.5.0/24 dataline:192.168.2.0/24 "all_tcpudpicmp"
5 Allow dataline:192.168.2.0/24 lan:192.168.5.0/24 "all_tcpudpicmp"
DFL-860E:/> vpnstats
IPsec Tunnel Local Network Remote Network Remote Endpoint
------------------ ------------------ ------------------ ------------------
dataline 192.168.5.0/24 192.168.8.0/24 dataline_wan