Вопрос или проблема
У нас есть 2 роутера PFSense. R1 — это пограничный роутер, а R2 находится за пределами. Цель состоит в том, чтобы компьютеры на противоположных концах могли общаться друг с другом. Вот как настроены сети. Смотрите прикреплённое изображение для карты.
MARШРУТИЗАЦИЯ R1
Сетевой адрес назначения: 192.168.1.0/24
Маска подсети: 24
Шлюз: 10.0.5.3 (WAN IP R2 на LAN R1)
ФАЕРВОЛ R1
WAN: По умолчанию
LAN: Разрешить всё
ФАЕРВОЛ R2
WAN: Разрешить всё
LAN: Разрешить всё
NAT R2
Режим исходящего трафика: Гибридный
Интерфейс сопоставления: WAN
Источник: 192.168.1.0/24
Назначение: 10.0.2.0/29
Шлюз на верхнем уровне: 10.0.5.1
Цель перевода: Адрес интерфейса
Вот результаты
R1 ping 10.0.2.1
УСПЕХ
R1 ping 10.0.5.3
УСПЕХ
R1 ping 192.168.1.1
НЕУДАЧА
R2 ping 10.0.5.1
УСПЕХ
R2 ping 10.0.2.1
УСПЕХ
R2 ping 192.168.1.1
УСПЕХ
Отслеживание маршрута к 192.168.1.1 с максимальным количеством 30 переходов
1 <1 мс <1 мс <1 мс 10.0.2.1
2 * * * Время запроса истекло.
Ответ или решение
Проблема маршрутизации: «Ping проходит в одном направлении»
В рамках настройки сети с двумя маршрутизаторами PFSense (R1 и R2) возникла проблема, при которой пинги проходят только в одном направлении. Давайте разберем эту ситуацию шаг за шагом, чтобы выявить возможные причины и решения.
Описание сети
-
R1 – это внешний маршрутизатор, предоставляющий доступ в интернет, который имеет следующие маршруты и настройки:
- Маршрут:
- Сеть назначения: 192.168.1.0/24
- Маска подсети: 24
- Шлюз: 10.0.5.3 (WAN IP R2 на LAN R1)
- Фаервол:
- WAN: По умолчанию
- LAN: Разрешить все
-
R2 – встроенный маршрутизатор, который находится за R1:
- Фаервол:
- WAN: Разрешить все
- LAN: Разрешить все
- NAT:
- Режим исходящего NAT: Гибридный
- Интерфейс сопоставления: WAN
- Исходный трафик: 192.168.1.0/24
- Целевой трафик: 10.0.2.0/29
- Шлюз вверх по потоку: 10.0.5.1
- Целевая трансляция: Адрес интерфейса
Результаты теста связи
-
Пинг с R1:
- 10.0.2.1: Успешно
- 10.0.5.3: Успешно
- 192.168.1.1: Ошибка
-
Пинг с R2:
- 10.0.5.1: Успешно
- 10.0.2.1: Успешно
- 192.168.1.1: Успешно
Диагностика проблемы
-
Таблица маршрутизации:
Каждое устройство необходимо правильно настраивать для маршрутизации трафика. Убедитесь, что R1 имеет маршрут для 192.168.1.0/24 через R2. Также проверьте, чтобы в R2 был дополнительный маршрут для сети 10.0.5.0, чтобы разрешить ответ в сторону R1. -
Правила фаервола:
Хотя в фаерволе R1 и R2 указано «Разрешить все», необходимо проверить, нет ли дополнительных правил, ограничивающих ICMP-запросы (протокол, используемый для ping). Это может быть причиной успешных откликов только в одном направлении. -
Настройки NAT:
Обратите внимание на настройки NAT на R2:- Настройка NAT может не корректно обрабатывать обратные ответы. Убедитесь, что все параметры заданы правильно и включены соответствующие механизмы возврата трафика.
-
Тесты маршрутизации:
Проведите трассировку (traceroute) от R1 к R2, чтобы увидеть путь пакетов. Если трассировка останавливается на 10.0.2.1, то следует проверить соответствующие маршруты и настройки на обоих маршрутизаторах для обеспечения корректной маршрутизации ответного трафика.
Рекомендуемые действия для решения проблемы
- Проверка маршрутов: Убедитесь, что маршруты правильно сконфигурированы на обоих маршрутизаторах.
- Фаервол и NAT: Проверьте правила фаервола и настройки NAT, чтобы гарантировать, что пакеты ICMP разрешены на обоих маршрутизаторах.
- Логи: Изучите логи на обоих маршрутизаторах для поиска возможных блокировок или необработанных запросов.
- Тестирование с другими утилитами: Попробуйте использовать другие инструменты тестирования соединения, такие как telnet или netcat, чтобы удостовериться в корректности маршрутизации и доступности сервисов.
Заключение
Проблема с однонаправленным ping-соединением может быть вызвана неправильной маршрутизацией, настройками фаерволов или NAT. Пошаговая диагностика, включая проверку маршрутов, правил безопасности и настроек NAT, позволит выявить и устранить причину проблемы. С правильным подходом, ваши компьютеры на противоположных концах сети смогут успешно обмениваться данными.