Как следует из заголовка, я не могу установить соединение по двусторонней связи, например SSH, на VIP-сервере Phase 2, подключенном к IP-адресу локальной сети с использованием NAT 1:1.
Фаза 1 и фаза 2 — UP. Удаленный IP-адрес фазы 2 — 192.168.1.248, а локальный IP-адрес — 172.16.250.10 (VIP)
Я создал NAT 1:1 как на интерфейсе LAN, так и на интерфейсе IPSec, который показывает: Внешний IP 172.16.250.10 (VIP...) Внутренний IP 192.192.168.1.253 (реальный IP pfSense)
Чтобы проверить это, я сейчас пробую только SSH. Я создал два правила на брандмауэре, одно для ICMP и одно для SSH.
ICMP работает отлично - не знаю почему. Вот правило и захват пакетов соответственно для ICMP и SSH:
Правила:
Захват пакетов ICMP - часть информации размыта, так как я не совсем понимаю, для чего она нужна...:
А вот захват пакета попытки SSH, которая оказалась неудачной, при этом в журнале зафиксированы как тест telnet, так и сам тест SSH:
Как вы видите, pfSense не ответил, как при выполнении ICMP. Это также происходит, даже если я разрешаю все правила на IPSEC и LAN, а также происходит в других службах, таких как порты Zabbix. Для пояснения: Да, SSH включен.
Хочу также заранее сообщить, что я создал статический маршрут для IN → OUT (который отлично работает).
Я зашёл сюда, потому что у меня действительно нет идей и мне нужна помощь. Может кто-нибудь дать мне свет на это?
Спасибо.
решение1
Решением стало создание BINAT на одной из сторон, чтобы предотвратить конфликт сетей с одинаковыми диапазонами адресов.