Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Port forwarding HTTP/HTTPS from WAN2 to VLAN

    Scheduled Pinned Locked Moved Russian
    25 Posts 4 Posters 3.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • PTZ-MP
      PTZ-M
      last edited by PTZ-M

      Просьба не кидаться сразу тапками. Банально завис на простейшей задаче.

      Есть MultiWAN, на WAN 2 с "белым" IP делаю проброс порта 80 и 443 на VLAN 100 (с именем WEB) висящий за pfsense.
      VLAN 100 прекрасно живёт на маршрутизаторе HP и интернет доступен (стоит группа шлюзов, но пинг на 8.8.8.8 с WAN2 через интерфейс pfsense уходит, т.ч. канал в норме). Но вот попасть на этот сервак с мира через WAN2 по портам 80 и 443 - не получается. Сам сервак в VLAN 100 отвечает АРМ находящимся в VLAN 100 по портам 80 и 443.

      В NAT пишу:
      Интерфейс: WAN2
      Протокол: TCP
      Назначение: WEB address
      Диапазон портов: http
      Целевой IP: 172.31.1.100
      Целевой порт: http
      Остальное по дефолту.

      Менял 80 на другой входящий - бестолку.

      PTZ-MP 1 Reply Last reply Reply Quote 0
      • PTZ-MP
        PTZ-M @PTZ-M
        last edited by PTZ-M

        @ptz-m
        тьфу ты, случайно ответ нашёл на reddit надо было в Назначение и указать WAN2

        Вопрос закрыт.

        PTZ-MP 1 Reply Last reply Reply Quote 0
        • PTZ-MP
          PTZ-M @PTZ-M
          last edited by

          Открываю обсуждение, появился дополнительный нюанс - надо протолкнуть трафик не просто с мира, а завернуть ещё и с локалки.
          Т.е. при запросе портов 80 и 443 из LAN на внешний IP назначенный WAN 2 ответ уходил не на вебинтерфейс pfsense, а на целевой IP сервера 172.31.1.100.

          P 1 Reply Last reply Reply Quote 0
          • P
            pigbrother @PTZ-M
            last edited by

            @ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

            а на целевой IP сервера 172.31.1.100.

            Это адрес в LAN? Тогда split DNS или NAT Reflection mode for port forwards

            PTZ-MP 1 Reply Last reply Reply Quote 0
            • PTZ-MP
              PTZ-M @pigbrother
              last edited by PTZ-M

              @pigbrother IP 172.31.1.100 находится в VLAN 100, и мне надо на него зайти из LAN-а НО! обращаясь на IP который присвоен WAN 2. Т.е. грубо говоря отправить пакет в мир, где он завернётся мне назад самим PFSense, что-то вроде loopback (ну как бы да NAT Reflection).

              Не могу сообразить, что за правило надо в NAT прописать.

              P 1 Reply Last reply Reply Quote 0
              • P
                pigbrother @PTZ-M
                last edited by

                @ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                находится в VLAN 100,

                Это не важно. Для PF это просто интерфейс. Правило доступа с LAN к 172.31.1.100:80 и 172.31.1.100:443 есть?
                DNS используется в PF?

                Тут
                https://docs.netgate.com/pfsense/en/latest/nat/reflection.html
                оба способа, о которых писал выше.

                Для способа c DNS ключевые слова
                DNS Resolver/Forwarder Overrides

                PTZ-MP 1 Reply Last reply Reply Quote 0
                • PTZ-MP
                  PTZ-M @pigbrother
                  last edited by

                  @pigbrother Правило доступа с LAN к 172.31.1.100:80 и 172.31.1.100:443 отсутствует, максимально изолировать хотелось ту машину.
                  DNS Forwarder и DDNS (уже не помню зачем) только работают.

                  P 1 Reply Last reply Reply Quote 0
                  • P
                    pigbrother @PTZ-M
                    last edited by pigbrother

                    @ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                    Правило доступа с LAN к 172.31.1.100:80 и 172.31.1.100:443 отсутствует

                    Тогда из LAN к этому хосту доступа со splt DNS по не будет. Ни по IP, ни по имени.

                    Пробуйте NAT Reflection.

                    System-Advanced-Firewall & NAT
                    отметить
                    NAT Reflection mode for port forwards

                    PTZ-MP 1 Reply Last reply Reply Quote 0
                    • PTZ-MP
                      PTZ-M @pigbrother
                      last edited by

                      @pigbrother
                      Включил: Pure NAT, NAT Reflection for 1:1 NAT, automatic outbound NAT for Reflection - теперь страница PFSense не грузиться, но и порты нужные мне недоступны.
                      Проброс портов из LAN вместе с NAT Reflection ещё надо сделать?

                      P 2 Replies Last reply Reply Quote 0
                      • P
                        pigbrother @PTZ-M
                        last edited by

                        This post is deleted!
                        1 Reply Last reply Reply Quote 0
                        • P
                          pigbrother @PTZ-M
                          last edited by pigbrother

                          @ptz-m Когда пользовался - включал только
                          NAT Reflection mode for port forwards - NAT+proxy
                          Enable NAT Reflection for 1:1 NAT - не включал

                          @ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                          Проброс портов из LAN вместе с NAT Reflection ещё надо сделать?

                          Нет. Работало и без этого.

                          Примечание. У меня проброс был сделан в DMZ. Но разницы быть не должно, что VLAN, что DMZ - это просто интерфейсы.

                          PTZ-MP 1 Reply Last reply Reply Quote 1
                          • PTZ-MP
                            PTZ-M @pigbrother
                            last edited by

                            @pigbrother said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                            Работало и без этого.

                            Сработало :-) Даже при том что я указал "блокировать" в правилах для интерфейса WEB (VLAN 100) на доступ к LAN, и использование дефолтного шлюза (чтобы нельзя было ломанув сервак пробиться куда-то ещё, или ботнет подсадить). Косяков пока не выявлено, т.ч. снова закрываю вопрос.

                            PTZ-MP 1 Reply Last reply Reply Quote 0
                            • PTZ-MP
                              PTZ-M @PTZ-M
                              last edited by PTZ-M

                              @ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                              Косяков пока не выявлено

                              Упс, выявился жёсткий косяк - отвалился SIP (нет самой регистрации на станции, показывает, что номер в дауне), который коннектился из VLAN 10 (Wi-Fi) на Asterisk в LAN адресуясь через внешний IP на WAN1 (что-бы можно было бесшовно переходить на мобильный канал, когда вафля вне зоны действия смартфона). При этом аналогичная схема с видеонаблюдением работает. Похоже трафик UDP дропается; не похоже на дроп диапазона для RTP, поскольку там звонок бы просто срывался.

                              P PTZ-MP 2 Replies Last reply Reply Quote 0
                              • P
                                pigbrother @PTZ-M
                                last edited by

                                @ptz-m "Правильный" способ, все же - split DNS.

                                @ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                                максимально изолировать хотелось ту машину.

                                Однако при split DNS придется разрешать доступ к нужным хостам в VLAN100 из LAN. Можно только по нужным портам

                                PTZ-MP 1 Reply Last reply Reply Quote 0
                                • PTZ-MP
                                  PTZ-M @pigbrother
                                  last edited by

                                  @pigbrother said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                                  split DNS

                                  В моём случае трогать всё что, касается DNS - категорически не рекомендуется. Только "гвоздями прибивать".

                                  1 Reply Last reply Reply Quote 0
                                  • PTZ-MP
                                    PTZ-M @PTZ-M
                                    last edited by

                                    @ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                                    Упс, выявился жёсткий косяк - отвалился SIP (нет самой регистрации на станции, показывает, что номер в дауне), который коннектился из VLAN 10 (Wi-Fi) на Asterisk в LAN адресуясь через внешний IP на WAN1 (что-бы можно было бесшовно переходить на мобильный канал, когда вафля вне зоны действия смартфона). При этом аналогичная схема с видеонаблюдением работает. Похоже трафик UDP дропается; не похоже на дроп диапазона для RTP, поскольку там звонок бы просто срывался.

                                    Проблема с отвалом SIP при глобальном "отражение NAT" в режиме NAT + Proxy cтала весьма ощутимо мешать.

                                    Попробовал в NAT (для проброса порта 5060 из WiFi) менять настройки отражения NAT - нет никаких изменений поведения). Если вбивать локальный IP, то всё так и работает из под VLAN 10 (Wi-Fi); с мира то же нет проблем с коннектом при вводе IP от WAN1; а вот через VLAN 10 (Wi-Fi) так и не может подцепиться.

                                    Примерная схема, которая работала до начала изменений в NAT, в здании офиса:
                                    сотовый -> SIP-модуль -> VLAN 10 (Wi-Fi) -> PfSense -> WAN1 IP -> LAN -> Asterisk

                                    Примерная схема, которая работет до начала изменений в NAT и после, вне здания офиса:
                                    сотовый -> SIP-модуль -> мобильная сеть -> WAN1 -> PfSense -> LAN -> Asterisk

                                    Примерная схема, которая работает после изменений в NAT, в здании офиса:
                                    сотовый -> SIP-модуль -> VLAN 10 (Wi-Fi) -> PfSense -> LAN -> Asterisk

                                    Примерная схема, которой добивались изменяя NAT, в здании офиса:
                                    компьютер -> LAN -> PfSense -> WAN2 -> сервер

                                    Последние эксперименты проводил уже на 2.6.0.

                                    Любые мысли?

                                    K werterW 2 Replies Last reply Reply Quote 0
                                    • K
                                      Konstanti @PTZ-M
                                      last edited by Konstanti

                                      @ptz-m

                                      Здр
                                      Мысль проста - начните анализ с простой диагностики
                                      Те - запустите tcpdump на PF , и посмотрите , что происходит на нужных Вам интерфейсах в момент соединения

                                      tcpdump -netti имя_интерфейса udp and port 5060

                                      если можно , покажите результат тут

                                      PTZ-MP 1 Reply Last reply Reply Quote 0
                                      • werterW
                                        werter @PTZ-M
                                        last edited by

                                        Добрый
                                        @ptz-m
                                        С этим сравнивали?
                                        https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-phones.html
                                        https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-pbx.html

                                        Используя ссылки выше никогда не имел проблем с voip+nat.
                                        Кроме случаев, когда у клиентов есть роутер с sip helper (из последнего был микротик). Отключение sip helper решило проблему с sip.

                                        PTZ-MP 1 Reply Last reply Reply Quote 0
                                        • PTZ-MP
                                          PTZ-M @Konstanti
                                          last edited by

                                          @konstanti извечный вопрос - где смотреть и что искать? В VLAN 10 (Wi-Fi)?
                                          Выше я писал, что видеонаблюдение приложения iVMS-4500 в такой же ситуации (VLAN 10 (Wi-Fi) -> WAN1 IP) работает, т.е. пакеты прекрасно ходят. А в Asterisk даже регистрация линии не проходит при таких же настройках проброса порта в NAT.

                                          K 1 Reply Last reply Reply Quote 0
                                          • PTZ-MP
                                            PTZ-M @werter
                                            last edited by

                                            @werter said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                                            С этим сравнивали?
                                            https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-phones.html
                                            https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-pbx.html

                                            Там вода для чайников. Надо копать в сторону настроек NAT 😞

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.