Перенаправление трафика на другой адрес

glifed

Добрый день камрады.
Дано:
1)Pfsence 2.5.1 с белой статикой xxx.xxx.xxx.xxx
2)Сервис который не открывается только с одного с мобильного оператора, но открывается с pfsence и многих других операторов с IP YYY.YYY.YYY.YYY
Условие:

1. С мобильного оператора открывается pfsence.
2. Мобильный оператор отрицает проблемы со своей стороны. И решать ничего не хочет
   Задача:
   При обращении на pfsence по порту 12000 переадресовывать трафик на Сервис порт 12000
   Аналог настройки в windows https://winitpro.ru/index.php/2014/12/23/nastrojka-port-forvardinga-v-windows/

В pfsence пробовал проброс NAT с разными настройками-портами. Не получается. Прошу помочь в решении задачки.

werter

@glifed
Зачем вы на wan address пф-а обращаетесь? У вас проблемный сайт на внешнем ip пф-а живет?

glifed

@werter возможно не правильно понял этот пункт. Мне всегда казалось что это указание куда приходит трафик который нужно перенаправить. По крайней мере проброс в локальную сеть RDP и SSH работает так. Только вместо ip 91.х.х.х который на скрине я указываю ip lan машины. Проблем не наблюдается. Поправьте если не прав.

werter

@glifed

Мне всегда казалось что это указание куда приходит трафик который нужно перенаправить.

Почему вы с ВАНа пф-а пытаетесь сделать редирект на ВНЕШНИЙ ip?
С ВАНа пф-а можно делать порт форвард ТОЛЬКО на локальную машину в локальной сети пф-а (можно и в туннель пробросить порт, но "это другое")

Мобильный оператор отрицает проблемы со своей стороны.

На время откл. фаервол и\или антивирус на проблемной машине.
Может быть, что оператор прави проблема у клиента.

Зы. Смените язык на eng, пож-та.

glifed

@werter ну у меня такая задача. Трафик который идёт на wan по порту 12000 слать на другой внешний IP

werter

@glifed
Не получится. Описал ранее почему.

Купите за 2 бакса\мес виртуалку в европе, разверните там овпн (Nyr openvpn - > google) и пусть клиенты ходят к проблемному ip через этот впн.

glifed

@werter проблема у оператора инфа 100%. Устройство спутниковый ресивер. Там не файрволла в принципе.

werter

@glifed said in Перенаправление трафика на другой адрес:

С мобильного оператора открывается pfsence.

И не надо открывать пф ВОВНЕ. Это плохая практика.
Нужен доступ к пф - настраивайте впн.

werter

@glifed
Выдайте dns-ом гугловские проблемным клиентам. Пусть ребутнутся и проверят.

glifed

@werter Ну я сделал проще. Трафик шлю на Винду. В Винде редирект по мануалу. Работает но хотелось бы избавится от винды.

werter

@glifed
Не получится без стороннего хоста.
На микроте такое точно возможно, но стоит ли оно того.

Konstanti

@glifed
Здр
Что мешает создать , к примеру , IPSEC туннель между PF и проблемным клиентом . И весь трафик от этого клиента пустить через этот туннель , включая трафик на порту 12000 ?
Как Вы и хотите :
1 уйдете от Win
2 для решения задачи будет использоваться PF

werter

@konstanti said in Перенаправление трафика на другой адрес:

И весь трафик от этого клиента пустить через этот туннель , включая трафик на порту 12000 ?

Точно.
Только не весь, а к проблемному ip онли.
ТС хочет без доп. телодвижений ,как я понял. Возможно, у него 100500 клиентов и каждому туннель городить - это не комильфо.

werter

@glifed

При обращении на pfsence по порту 12000 переадресовывать трафик на Сервис порт 12000

А что если:

1. Проброс с вана на localhost\локал. ip пф-а и порт 12000
2. Правило порт форв на ЛАН: все что приходит на 127,0,0,1:12000 или локал. ip-пф:12000 - редирект на x.x.x.x:12000

Только с протоколом определитесь - tcp или udp.

glifed

@werter обязательно попробую. К сожалению рессиверы не поддерживают ни VPN и IPsec

Konstanti

@glifed
Пробуйте делать так
1 создаете правило Port Forward

2 переводите NAT Outbound в ручной режим ( Manual mode )

3 создаете вот такое правило исходящего NAT

пробуете установить соединение

в результате , tcpdump должен показать приблизительно такое движение пакетов
1.99->1.120->15.6
15.6->1.120->1.99

где 192.168.1.99 - мой комп
192.168.1.120 - тестовый PF
192.168.15.6 - некое устройство ( не принадлежащее ни к одной сети PF - аналог Вашего 91.x.x.x)

[2.4.4-RELEASE][admin@pfSense.localdomain]/root: tcpdump -netti em0 tcp and port 8089
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 262144 bytes
1640511573.103801 90:9c:4a:c0:23:ba > 08:00:27:02:c8:c1, ethertype IPv4 (0x0800), length 78: 192.168.1.99.55084 > 192.168.1.120.8089: Flags [S], seq 1386578168, win 65535, options [mss 1460,nop,wscale 6,nop,nop,TS val 704326470 ecr 0,sackOK,eol], length 0
1640511573.103966 08:00:27:02:c8:c1 > 00:08:a2:0a:ff:73, ethertype IPv4 (0x0800), length 78: 192.168.1.120.56585 > 192.168.15.6.8089: Flags [S], seq 1386578168, win 65535, options [mss 1460,nop,wscale 6,nop,nop,TS val 704326470 ecr 0,sackOK,eol], length 0
1640511573.104435 00:0b:82:9e:ba:e3 > 08:00:27:02:c8:c1, ethertype IPv4 (0x0800), length 74: 192.168.15.6.8089 > 192.168.1.120.56585: Flags [S.], seq 3930832040, ack 1386578169, win 14480, options [mss 1460,sackOK,TS val 637910352 ecr 704326470,nop,wscale 4], length 0
1640511573.104519 08:00:27:02:c8:c1 > 90:9c:4a:c0:23:ba, ethertype IPv4 (0x0800), length 74: 192.168.1.120.8089 > 192.168.1.99.55084: Flags [S.], seq 3930832040, ack 1386578169, win 14480, options [mss 1460,sackOK,TS val 637910352 ecr 704326470,nop,wscale 4], length 0
1640511573.107246 90:9c:4a:c0:23:ba > 08:00:27:02:c8:c1, ethertype IPv4 (0x0800), length 66: 192.168.1.99.55084 > 192.168.1.120.8089: Flags [.], ack 1, win 2058, options [nop,nop,TS val 704326478 ecr 637910352], length 0
1640511573.107316 08:00:27:02:c8:c1 > 00:08:a2:0a:ff:73, ethertype IPv4 (0x0800), length 66: 192.168.1.120.56585 > 192.168.15.6.8089: Flags [.], ack 1, win 2058, options [nop,nop,TS val 704326478 ecr 637910352], length 0
1640511573.107324 90:9c:4a:c0:23:ba > 08:00:27:02:c8:c1, ethertype IPv4 (0x0800), length 583: 192.168.1.99.55084 > 192.168.1.120.8089: Flags [P.], seq 1:518, ack 1, win 2058, options [nop,nop,TS val 704326478 ecr 637910352], length 517
1640511573.107366 08:00:27:02:c8:c1 > 00:08:a2:0a:ff:73, ethertype IPv4 (0x0800), length 583: 192.168.1.120.56585 > 192.168.15.6.8089: Flags [P.], seq 1:518, ack 1, win 2058, options [nop,nop,TS val 704326478 ecr 637910352], length 517
1640511573.107640 00:0b:82:9e:ba:e3 > 08:00:27:02:c8:c1, ethertype IPv4 (0x0800), length 66: 192.168.15.6.8089 > 192.168.1.120.56585: Flags [.], ack 518, win 1086, options [nop,nop,TS val 637910352 ecr 704326478], length 0
1640511573.107697 08:00:27:02:c8:c1 > 90:9c:4a:c0:23:ba, ethertype IPv4 (0x0800), length 66: 192.168.1.120.8089 > 192.168.1.99.55084: Flags [.], ack 518, win 1086, options [nop,nop,TS val 637910352 ecr 704326478], length 0
1640511573.118192 00:0b:82:9e:ba:e3 > 08:00:27:02:c8:c1, ethertype IPv4 (0x0800), length 1289: 192.168.15.6.8089 > 192.168.1.120.56585: Flags [P.], seq 1:1224, ack 518, win 1086, options [nop,nop,TS val 637910353 ecr 704326478], length 1223

werter

@konstanti
Коллега, почему у вас такой старый пф?
Это что-то тестовое?

Konstanti

@werter
Есть замечательное выражение : " Механик , не мешай машине работать " .

Отлично все функционирует для моих задач - тем более , что это тестовая машинка .
А так , для понимания , Up time рабочей лошадки

все работает без сбоев . Смысла в обновлении для меня нет никакого

werter

@konstanti
Я бы не сказал, что в релизах новее вашего мало полезного.

https://docs.netgate.com/pfsense/en/latest/releases/2-4-5.html
https://docs.netgate.com/pfsense/en/latest/releases/2-4-5-p1.html
https://docs.netgate.com/pfsense/en/latest/releases/2-5-0.html
И это еще не все релизы.

Там сотни исправлений и десяток из них точно прилично-важные.
Не раз и не два сталкивался здесь, что у людей проблемы на старых релизах, а после обновления все становилось ок.

Зы. А uptime - такое себе. Я специально раз в неделю по крону пф в ребут отправляю. Считаю, что полезно (сброс зависших сессий etc).

glifed

@konstanti Спасибо. Все заработало так как нужно!