Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    (Решено) Из LAN в WAN не идут TCP пакеты

    Scheduled Pinned Locked Moved Russian
    7 Posts 3 Posters 3.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      abychenok
      last edited by

      Доброго времени суток.
      Помогите пожалуйста разобраться с такой проблемой:
      Есть сеть LAN + WAN(PPPoE) + OPT1
      Интернет для пользователей локальной сети есть и работает. Но есть клиент СЭД который коннектится к серверу через TCP Gate. Пакеты до клиента идут, а вот от клиента стопоряться.
      Отработка команды pfctl -sn | grep nat

      
$ pfctl -sn | grep nat
nat-anchor "pftpx/*" all
nat-anchor "natearly/*" all
nat-anchor "natrules/*" all
nat on rl1 inet from 192.168.0.0/24 port = isakmp to any port = isakmp -> (ng0) port 500 round-robin
nat on ng0 inet from 192.168.0.0/24 port = isakmp to any port = isakmp -> (ng0) port 500 round-robin
nat on rl1 inet from 192.168.0.0/24 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robin
nat on ng0 inet from 192.168.0.0/24 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robin
nat on rl1 inet from 192.168.0.0/24 to any -> (ng0) port 1024:65535 round-robin
nat on ng0 inet from 192.168.0.0/24 to any -> (ng0) port 1024:65535 round-robin

      Отработка команды ifconfig -a

      
$ ifconfig -a
rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
	options=8 <vlan_mtu>ether 00:1d:0f:ff:88:a8
	inet 192.168.0.100 netmask 0xffffff00 broadcast 192.168.0.255
	inet6 fe80::21d:fff:feff:88a8%rl0 prefixlen 64 scopeid 0x1 
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
rl1: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
	options=8 <vlan_mtu>ether 00:11:5b:cf:74:da
	inet6 fe80::211:5bff:fecf:74da%rl1 prefixlen 64 scopeid 0x2 
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
	inet 127.0.0.1 netmask 0xff000000 
	inet6 ::1 prefixlen 128 
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 
enc0: flags=0<> metric 0 mtu 1536
pfsync0: flags=41 <up,running>metric 0 mtu 1460
	pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
pflog0: flags=100 <promisc>metric 0 mtu 33204
vlan0: flags=8842 <broadcast,running,simplex,multicast>metric 0 mtu 1500
	ether 00:11:5b:cf:74:da
	inet6 fe80::21d:fff:feff:88a8%vlan0 prefixlen 64 scopeid 0x7 
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
	vlan: 20 parent interface: rl1
ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1450
	inet 10.44.1.2 --> 10.254.254.254 netmask 0xffffffff 
	inet6 fe80::21d:fff:feff:88a8%ng0 prefixlen 64 scopeid 0x8</up,pointopoint,running,noarp,simplex,multicast></full-duplex></broadcast,running,simplex,multicast></promisc></up,running></up,loopback,running,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast>

      Логи файервола:

      Mar   12 06:31:54    NG0      10.44.1.2:56270      	94.51.76.137:2048             TCP:A
      1 Reply Last reply Reply Quote 0
      • E
        Eugene
        last edited by

        @abychenok:

        есть клиент СЭД который коннектится к серверу через TCP Gate. Пакеты до клиента идут, а вот от клиента стопоряться.

        А что такое СЭД и TCP Gate? Коннектится к какому серверу? Как проверялось, что пакеты до клиента идут?

        http://ru.doc.pfsense.org

        1 Reply Last reply Reply Quote 0
        • A
          abychenok
          last edited by

          @Eugene:

          @abychenok:

          есть клиент СЭД который коннектится к серверу через TCP Gate. Пакеты до клиента идут, а вот от клиента стопоряться.

          А что такое СЭД и TCP Gate?

          СЭД - система электронного документооборота
          TCP GAte - шлюз. Шлюз представлен как внешний модуль *.dll, который импортирует и экспортирует пакеты информации. Пакеты системы физически не создаются в виде файлов, а хранятся в базе и при установлении tcp-соединения передаются от передающей стороны к принимающей при помощи протокола TCP/IP.

          Коннектится к какому серверу? Как проверялось, что пакеты до клиента идут?

          У сервера динамический IP привязан к dyndns.org
          В мониторе транспортной системы клиента СЭД можно посмотреть какие пакеты пришли.
          Такое впечатление что pfsence блокирует пакеты которые идут с NG0(PPPoE соединение).

          1 Reply Last reply Reply Quote 0
          • E
            Eugene
            last edited by

            Ох нификасебе…
            Ну тогда можно посмотреть ещё на```
            pfctl -sr

            Хотя с другой стороны… если пакеты приходят на шлюз, но не приходят от него, то pfSense не виноват

            tcpdump -ni ng0 host ip_address_of_tcp_gate

            может помочь понять где что.

            http://ru.doc.pfsense.org

            1 Reply Last reply Reply Quote 0
            • A
              abychenok
              last edited by

              Спасибо, в понедельник попробую.

              1 Reply Last reply Reply Quote 0
              • A
                abychenok
                last edited by

                Что я только не пробовал, и под конец (когда руки уже опустились :)) я всё грохнул и установил заново. Пакеты пошли, и транспорт заработал.
                Огромное спасибо за помощь.

                1 Reply Last reply Reply Quote 0
                • Z
                  zar0ku1
                  last edited by

                  @abychenok:

                  Что я только не пробовал, и под конец (когда руки уже опустились :)) я всё грохнул и установил заново. Пакеты пошли, и транспорт заработал.
                  Огромное спасибо за помощь.

                  ставь решно и закрывай тему тогда

                  закрывайте темы, если ответ на ваш вопрос полон.
                  если схема сложная - не поленитесь ее нарисовать

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.