Port forwarding HTTP/HTTPS from WAN2 to VLAN

PTZ-M

@ptz-m
тьфу ты, случайно ответ нашёл на reddit надо было в Назначение и указать WAN2

Вопрос закрыт.

PTZ-M

Открываю обсуждение, появился дополнительный нюанс - надо протолкнуть трафик не просто с мира, а завернуть ещё и с локалки.
Т.е. при запросе портов 80 и 443 из LAN на внешний IP назначенный WAN 2 ответ уходил не на вебинтерфейс pfsense, а на целевой IP сервера 172.31.1.100.

pigbrother

@ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

а на целевой IP сервера 172.31.1.100.

Это адрес в LAN? Тогда split DNS или NAT Reflection mode for port forwards

PTZ-M

@pigbrother IP 172.31.1.100 находится в VLAN 100, и мне надо на него зайти из LAN-а НО! обращаясь на IP который присвоен WAN 2. Т.е. грубо говоря отправить пакет в мир, где он завернётся мне назад самим PFSense, что-то вроде loopback (ну как бы да NAT Reflection).

Не могу сообразить, что за правило надо в NAT прописать.

pigbrother

@ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

находится в VLAN 100,

Это не важно. Для PF это просто интерфейс. Правило доступа с LAN к 172.31.1.100:80 и 172.31.1.100:443 есть?
DNS используется в PF?

Тут
https://docs.netgate.com/pfsense/en/latest/nat/reflection.html
оба способа, о которых писал выше.

Для способа c DNS ключевые слова
DNS Resolver/Forwarder Overrides

PTZ-M

@pigbrother Правило доступа с LAN к 172.31.1.100:80 и 172.31.1.100:443 отсутствует, максимально изолировать хотелось ту машину.
DNS Forwarder и DDNS (уже не помню зачем) только работают.

pigbrother

@ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

Правило доступа с LAN к 172.31.1.100:80 и 172.31.1.100:443 отсутствует

Тогда из LAN к этому хосту доступа со splt DNS по не будет. Ни по IP, ни по имени.

Пробуйте NAT Reflection.

System-Advanced-Firewall & NAT
отметить
NAT Reflection mode for port forwards

PTZ-M

@pigbrother
Включил: Pure NAT, NAT Reflection for 1:1 NAT, automatic outbound NAT for Reflection - теперь страница PFSense не грузиться, но и порты нужные мне недоступны.
Проброс портов из LAN вместе с NAT Reflection ещё надо сделать?

pigbrother

This post is deleted!

pigbrother

@ptz-m Когда пользовался - включал только
NAT Reflection mode for port forwards - NAT+proxy
Enable NAT Reflection for 1:1 NAT - не включал

@ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

Проброс портов из LAN вместе с NAT Reflection ещё надо сделать?

Нет. Работало и без этого.

Примечание. У меня проброс был сделан в DMZ. Но разницы быть не должно, что VLAN, что DMZ - это просто интерфейсы.

PTZ-M

@pigbrother said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

Работало и без этого.

Сработало :-) Даже при том что я указал "блокировать" в правилах для интерфейса WEB (VLAN 100) на доступ к LAN, и использование дефолтного шлюза (чтобы нельзя было ломанув сервак пробиться куда-то ещё, или ботнет подсадить). Косяков пока не выявлено, т.ч. снова закрываю вопрос.

PTZ-M

@ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

Косяков пока не выявлено

Упс, выявился жёсткий косяк - отвалился SIP (нет самой регистрации на станции, показывает, что номер в дауне), который коннектился из VLAN 10 (Wi-Fi) на Asterisk в LAN адресуясь через внешний IP на WAN1 (что-бы можно было бесшовно переходить на мобильный канал, когда вафля вне зоны действия смартфона). При этом аналогичная схема с видеонаблюдением работает. Похоже трафик UDP дропается; не похоже на дроп диапазона для RTP, поскольку там звонок бы просто срывался.

pigbrother

@ptz-m "Правильный" способ, все же - split DNS.

@ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

максимально изолировать хотелось ту машину.

Однако при split DNS придется разрешать доступ к нужным хостам в VLAN100 из LAN. Можно только по нужным портам

PTZ-M

@pigbrother said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

split DNS

В моём случае трогать всё что, касается DNS - категорически не рекомендуется. Только "гвоздями прибивать".

PTZ-M

@ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

Упс, выявился жёсткий косяк - отвалился SIP (нет самой регистрации на станции, показывает, что номер в дауне), который коннектился из VLAN 10 (Wi-Fi) на Asterisk в LAN адресуясь через внешний IP на WAN1 (что-бы можно было бесшовно переходить на мобильный канал, когда вафля вне зоны действия смартфона). При этом аналогичная схема с видеонаблюдением работает. Похоже трафик UDP дропается; не похоже на дроп диапазона для RTP, поскольку там звонок бы просто срывался.

Проблема с отвалом SIP при глобальном "отражение NAT" в режиме NAT + Proxy cтала весьма ощутимо мешать.

Попробовал в NAT (для проброса порта 5060 из WiFi) менять настройки отражения NAT - нет никаких изменений поведения). Если вбивать локальный IP, то всё так и работает из под VLAN 10 (Wi-Fi); с мира то же нет проблем с коннектом при вводе IP от WAN1; а вот через VLAN 10 (Wi-Fi) так и не может подцепиться.

Примерная схема, которая работала до начала изменений в NAT, в здании офиса:
сотовый -> SIP-модуль -> VLAN 10 (Wi-Fi) -> PfSense -> WAN1 IP -> LAN -> Asterisk

Примерная схема, которая работет до начала изменений в NAT и после, вне здания офиса:
сотовый -> SIP-модуль -> мобильная сеть -> WAN1 -> PfSense -> LAN -> Asterisk

Примерная схема, которая работает после изменений в NAT, в здании офиса:
сотовый -> SIP-модуль -> VLAN 10 (Wi-Fi) -> PfSense -> LAN -> Asterisk

Примерная схема, которой добивались изменяя NAT, в здании офиса:
компьютер -> LAN -> PfSense -> WAN2 -> сервер

Последние эксперименты проводил уже на 2.6.0.

Любые мысли?

Konstanti

@ptz-m

Здр
Мысль проста - начните анализ с простой диагностики
Те - запустите tcpdump на PF , и посмотрите , что происходит на нужных Вам интерфейсах в момент соединения

tcpdump -netti имя_интерфейса udp and port 5060

если можно , покажите результат тут

werter

Добрый
@ptz-m
С этим сравнивали?
https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-phones.html
https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-pbx.html

Используя ссылки выше никогда не имел проблем с voip+nat.
Кроме случаев, когда у клиентов есть роутер с sip helper (из последнего был микротик). Отключение sip helper решило проблему с sip.

PTZ-M

@konstanti извечный вопрос - где смотреть и что искать? В VLAN 10 (Wi-Fi)?
Выше я писал, что видеонаблюдение приложения iVMS-4500 в такой же ситуации (VLAN 10 (Wi-Fi) -> WAN1 IP) работает, т.е. пакеты прекрасно ходят. А в Asterisk даже регистрация линии не проходит при таких же настройках проброса порта в NAT.

PTZ-M

@werter said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

С этим сравнивали?
https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-phones.html
https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-pbx.html

Там вода для чайников. Надо копать в сторону настроек NAT

Konstanti

@ptz-m
Ну , так посмотрите на нужных интерфейсах с помощью tcpdump , какой обмен пакетами происходит , и все ли верно ?
Получает ли Аsterisk пакет SIP Register , и что и куда он на него отвечает
Я бы лично начал бы с изучения трафика на интерфейсе , на котором висит Asterisk .
Те , Ваша задача состоит в том , чтобы определить , нет ли проблем передачи нужного трафика ( и изучение самого трафика ) в момент установления соединения ( на всех интерфейсах , которые участвуют в этом процессе )