Подмена порта + разные WAN

Vasilev

Добрый день. Имеется pf 2.7.0 на котором 2 wan интерфейса. В инете есть сервер с RDP x.x.x.x:1111 - 1111 порт RDP.
Возможно ли такое реализовать:

1. с клиента(стандартный виндовский RDP приложение) подключаемся к серверу x.x.x.x:2222 pf отправляет трафик по 1 wan на адрес x.x.x.x:1111
2. с клиента(стандартный виндовский RDP приложение) подключаемся к серверу x.x.x.x:3333 pf отправляет трафик по 2 wan на адрес x.x.x.x:1111
   Форварт порта разобрался как сделать, а вот как пустить по разным wan не сооброжу.
   Спасибо за ответы.

Konstanti

@Vasilev
ЗДр , для решения данной проблемы Вам нужно использовать технологию PBR

https://docs.netgate.com/pfsense/en/latest/multiwan/policy-route.html

по ссылке все четко расписано , какое правило надо создать на lan интерфейсе , чтобы в зависимости от назначения трафик отправлялся через разные WAN интерфейсы

Vasilev

@Konstanti
Это немного не то, сейчас цепочка работы pf такая: обрабатывается NAT, далее обрабатываются Rules LAN. После NAT я получаю один и тот же адрес для подключения 1.2.3.4:1111 и в Rules LAN я не могу понимать, от какого правила NAT пришел запрос.
После настройки в NAT двух правил:

1. 1.2.3.4:2222 -> 1.2.3.4:1111
2. 1.2.3.4:3333 -> 1.2.3.4:1111
   у меня в Rules LAN два одинаковых правила:
3. 1.2.3.4:1111
4. 1.2.3.4:1111
   и тут я могу указать какой wan использовать, но во второе правило пакеты не попадут никогда.
   А мне надо разделить на два wan в зависимости от порта

Vasilev

Вопрос снимается, спасибо @Konstanti, навел на другую идею. У меня на стороне, где сервер RDP тоже установлен pf, я там в NAT прописал в зависимости от порта подключения направлять все в RDP сервер.
И соответственно, на исходящее прописал правила для портов через какой wan отправлять пакеты.

Konstanti

@Vasilev

так еще раз
1 создаем исходящий NAT на wan2 интерфейсе для сети LAN
2 Создаем правило на LAN интерфейсе
источник сеть Lan
назначение RDP сервер
порт назначения 3333
-> шлюз WAN2 ( по инструкции по ссылке)

3 в настройках NAT outbound ( ручной режим)
используем замену порта для назначения сервер RDP

проброс портов на LAN интерфейсе отключаем

пусть всем WAN интерфейс занимается

Vasilev

@Konstanti
Подскажите, по Вашему примеру создал правило NATOutbound:
Source - указал сеть lan
Destination - указал ip RDP и порт 3333
Translation Port or Range - указал порт 1111

не заработало. на принимающей стороне идет на порт 3333, т.е. что то в правиле я не правильно указал?

Konstanti

@Vasilev

на нужном WAN интерфейсе правило nAT outbound роздали ?
очередность правил тоже важна
есть еще опция Do not NAT
те , если правило сработало , то дальше уже процесс обработки правил не производится

посмотрите tcpdump-ом , в каком виде уходят пакеты

Vasilev

@Konstanti
уходят в правильный wan, но порт не меняется, остается 3333, такое ощущение, что правило NAT Outbound не работает. Я его самым верхним сделал.

Konstanti

@Vasilev

да , посмотрел внимательно ,, речь идет только о порте источника в настройках NAT , никак не о порте назначения

Тогда Ваш путь верен , пробрасывать с нужным портом на PF назначения