У меня настроено site-to-site OpenVPN соединение между UCG Ultra и Opensense Firewall, соединение работает исправно, я могу пинговать устройства с обеих сторон и маршрутизировать интернет, используя маршрутизацию на основе политик для устройств на UCG Ultra, чтобы они использовали Opensense для выхода в интернет, но не наоборот. Нужна помощь в диагностике и решении проблемы, из-за которой маршрутизация на основе политик на Opensense не позволяет трафику интернета корректно проходить через UCG Ultra. Хотя запросы, похоже, доходят до UCG Ultra, соответствующие ответы не возвращаются на Opensense. Это указывает на проблему конфигурации маршрутизации или NAT на стороне UCG Ultra при обработке трафика, идущего от Opensense LAN, или на возможное несоответствие правил брандмауэра с обеих сторон, которое блокирует или неправильно перенаправляет обратный трафик.
Описание окружения:
1. Сайты и устройства:
• Сайт A: UCG Ultra (UniFi Dream Machine / Gateway)
• VPN IP: 10.0.9.2
• Локальная LAN подсеть: 192.168.50.0/24
• Сайт B: OPNsense Firewall
• VPN IP: 10.0.9.1
• Локальная LAN подсеть: 192.168.1.0/24
2. Настройка VPN:
• OpenVPN site-to-site соединение связывает Сайт A и Сайт B.
• Вся базовая связность работает как ожидалось:
• С Сайт A на Сайт B: Устройства могут пинговать и получать доступ друг к другу.
• С Сайт B на Сайт A: Устройства могут пинговать и получать доступ друг к другу.
3. Успешная маршрутизация на основе политик (Сайт A → Сайт B):
• На Сайте A конкретное устройство (например, 192.168.50.2) может иметь свой интернет-трафик маршрутизируемым через WAN Сайт B (10.0.9.1).
• Это подтверждает, что правила маршрутизации на основе политик на Сайте A настроены правильно, и трафик с Сайта A успешно перенаправляется на WAN Сайт B.
4. Проблема с маршрутизацией на основе политик (Сайт B → Сайт A):
• При попытке маршрутизации на основе политик на Сайте B для отправки интернет-связанного трафика через Сайт A (10.0.9.2) она не работает.
• Симптом: Трафик, похоже, доходит до Сайта A, но обратный трафик из интернета не маршрутизируется обратно на Сайт B.
• В результате устройства на Сайте B не получают доступ в интернет через Сайт A.
Описание окружения:
1. Сайты и устройства:
• Сайт A: UCG Ultra (UniFi Dream Machine / Gateway)
• VPN IP: 10.0.9.2
• Локальная LAN подсеть: 192.168.50.0/24
• Сайт B: OPNsense Firewall
• VPN IP: 10.0.9.1
• Локальная LAN подсеть: 192.168.1.0/24
2. Настройка VPN:
• OpenVPN site-to-site соединение связывает Сайт A и Сайт B.
• Вся базовая связность работает как ожидалось:
• С Сайт A на Сайт B: Устройства могут пинговать и получать доступ друг к другу.
• С Сайт B на Сайт A: Устройства могут пинговать и получать доступ друг к другу.
3. Успешная маршрутизация на основе политик (Сайт A → Сайт B):
• На Сайте A конкретное устройство (например, 192.168.50.2) может иметь свой интернет-трафик маршрутизируемым через WAN Сайт B (10.0.9.1).
• Это подтверждает, что правила маршрутизации на основе политик на Сайте A настроены правильно, и трафик с Сайта A успешно перенаправляется на WAN Сайт B.
4. Проблема с маршрутизацией на основе политик (Сайт B → Сайт A):
• При попытке маршрутизации на основе политик на Сайте B для отправки интернет-связанного трафика через Сайт A (10.0.9.2) она не работает.
• Симптом: Трафик, похоже, доходит до Сайта A, но обратный трафик из интернета не маршрутизируется обратно на Сайт B.
• В результате устройства на Сайте B не получают доступ в интернет через Сайт A.