Перейти к содержимому
Калькуляторы

Не синхронизируется NAT на PFSYNC

Добрый день.

Цель задачи - синхронизировать стейты на NAT1 и NAT2.

 

Вот схема соединения.

sheme.jpeg

Клиент:

IP 10.0.0.1
GW 10.0.0.222

Сервер:

IP 1.1.1.1
GW 1.1.1.111

 

Конфиги pf на NAT1 и NAT2 одинаковые:

nat pass on em2 from 10.0.0.0/24 to any -> x.x.x.0/24 source-hash abracadabra static-port
pass quick from any to any

 

PFSYNC настроен на синхронизацию через интерфейс em0 на обеих машинах:

1. ifconfig для NAT1:

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
    ether 00:15:17:8e:ed:a8
    inet 192.168.254.253 netmask 0xffffff00 broadcast 192.168.254.255
    media: Ethernet autoselect (1000baseT <full-duplex>)
    status: active

2. ifconfig для NAT2:

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
    options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
    ether 00:1b:21:50:0c:a6
    inet 192.168.254.254 netmask 0xffffff00 broadcast 192.168.254.255
    media: Ethernet autoselect (1000baseT <full-duplex>)
    status: active

В /etc/rc.conf:

1. NAT1

##pfsync
ifconfig_em0="inet 192.168.254.253 netmask 255.255.255.0"
pfsync_enable="YES"
pfsync_syncdev="em0"
pfsync_syncpeer="192.168.254.254"

2. NAT2

##pfsync
ifconfig_em0="inet 192.168.254.254 netmask 255.255.255.0"
pfsync_enable="YES"
pfsync_syncdev="em0"
pfsync_syncpeer="192.168.254.253"

Запускаю с клиента:

ping 1.1.1.1

Ответа нет.

 

При этом смотрю стейты на NAT1 и NAT2:

1. NAT1

all icmp x.x.x.249:30010 <- 1.1.1.1       0:0
all icmp 1.1.1.1:30010 -> x.x.x.249       0:0
all icmp 1.1.1.1:512 <- 10.0.0.1       0:0

2. NAT2

all icmp 1.1.1.1:512 <- 10.0.0.1       0:0
all icmp 10.0.0.1:512 -> x.x.x.249:30010 -> 1.1.1.1       0:0
all icmp 1.1.1.1:30010 -> x.x.x.249       0:0

Из последнего видно, что на NAT1 нету стейта:

all icmp 10.0.0.1:512 -> x.x.x.249:30010 -> 1.1.1.1       0:0

tcpdump`ом выяснил, что пакеты от 1.1.1.1 доходят до интерфейса em2 NAT1 и дальше в сеть не попадают.

Подскажите, куда копать?

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.