Jump to content

Не синхронизируется NAT на PFSYNC

nicol@s
 Share

Recommended Posts

nicol@s

nicol@s

Posted
Posted

Добрый день.

Цель задачи - синхронизировать стейты на NAT1 и NAT2.

 

Вот схема соединения.

sheme.jpeg

Клиент: 

IP 10.0.0.1
GW 10.0.0.222

Сервер: 

IP 1.1.1.1
GW 1.1.1.111

 

Конфиги pf на NAT1 и NAT2 одинаковые:

nat pass on em2 from 10.0.0.0/24 to any -> x.x.x.0/24 source-hash abracadabra static-port
pass quick from any to any

 

PFSYNC настроен на синхронизацию через интерфейс em0 на обеих машинах:

1. ifconfig для NAT1:

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
    ether 00:15:17:8e:ed:a8
    inet 192.168.254.253 netmask 0xffffff00 broadcast 192.168.254.255
    media: Ethernet autoselect (1000baseT <full-duplex>)
    status: active

2. ifconfig для NAT2:

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
    ether 00:1b:21:50:0c:a6
    inet 192.168.254.254 netmask 0xffffff00 broadcast 192.168.254.255
    media: Ethernet autoselect (1000baseT <full-duplex>)
    status: active

В /etc/rc.conf:

1. NAT1

##pfsync
ifconfig_em0="inet 192.168.254.253 netmask 255.255.255.0"
pfsync_enable="YES"
pfsync_syncdev="em0"
pfsync_syncpeer="192.168.254.254"

2. NAT2

##pfsync
ifconfig_em0="inet 192.168.254.254 netmask 255.255.255.0"
pfsync_enable="YES"
pfsync_syncdev="em0"
pfsync_syncpeer="192.168.254.253"

Запускаю с клиента:

ping 1.1.1.1

Ответа нет.

 

При этом смотрю стейты на NAT1 и NAT2:

1. NAT1

all icmp x.x.x.249:30010 <- 1.1.1.1       0:0
all icmp 1.1.1.1:30010 -> x.x.x.249       0:0
all icmp 1.1.1.1:512 <- 10.0.0.1       0:0

2. NAT2

all icmp 1.1.1.1:512 <- 10.0.0.1       0:0
all icmp 10.0.0.1:512 -> x.x.x.249:30010 -> 1.1.1.1       0:0
all icmp 1.1.1.1:30010 -> x.x.x.249       0:0

Из последнего видно, что на NAT1 нету стейта:

all icmp 10.0.0.1:512 -> x.x.x.249:30010 -> 1.1.1.1       0:0

tcpdump`ом выяснил, что пакеты от 1.1.1.1 доходят до интерфейса em2 NAT1 и дальше в сеть не попадают.

Подскажите, куда копать?

Спасибо.

  • 6 months later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.