(Решено) Из LAN в WAN не идут TCP пакеты
-
Доброго времени суток.
Помогите пожалуйста разобраться с такой проблемой:
Есть сеть LAN + WAN(PPPoE) + OPT1
Интернет для пользователей локальной сети есть и работает. Но есть клиент СЭД который коннектится к серверу через TCP Gate. Пакеты до клиента идут, а вот от клиента стопоряться.
Отработка команды pfctl -sn | grep nat$ pfctl -sn | grep nat nat-anchor "pftpx/*" all nat-anchor "natearly/*" all nat-anchor "natrules/*" all nat on rl1 inet from 192.168.0.0/24 port = isakmp to any port = isakmp -> (ng0) port 500 round-robin nat on ng0 inet from 192.168.0.0/24 port = isakmp to any port = isakmp -> (ng0) port 500 round-robin nat on rl1 inet from 192.168.0.0/24 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robin nat on ng0 inet from 192.168.0.0/24 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robin nat on rl1 inet from 192.168.0.0/24 to any -> (ng0) port 1024:65535 round-robin nat on ng0 inet from 192.168.0.0/24 to any -> (ng0) port 1024:65535 round-robin
Отработка команды ifconfig -a
$ ifconfig -a rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=8 <vlan_mtu>ether 00:1d:0f:ff:88:a8 inet 192.168.0.100 netmask 0xffffff00 broadcast 192.168.0.255 inet6 fe80::21d:fff:feff:88a8%rl0 prefixlen 64 scopeid 0x1 media: Ethernet autoselect (100baseTX <full-duplex>) status: active rl1: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=8 <vlan_mtu>ether 00:11:5b:cf:74:da inet6 fe80::211:5bff:fecf:74da%rl1 prefixlen 64 scopeid 0x2 media: Ethernet autoselect (100baseTX <full-duplex>) status: active lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384 inet 127.0.0.1 netmask 0xff000000 inet6 ::1 prefixlen 128 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 enc0: flags=0<> metric 0 mtu 1536 pfsync0: flags=41 <up,running>metric 0 mtu 1460 pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128 pflog0: flags=100 <promisc>metric 0 mtu 33204 vlan0: flags=8842 <broadcast,running,simplex,multicast>metric 0 mtu 1500 ether 00:11:5b:cf:74:da inet6 fe80::21d:fff:feff:88a8%vlan0 prefixlen 64 scopeid 0x7 media: Ethernet autoselect (100baseTX <full-duplex>) status: active vlan: 20 parent interface: rl1 ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1450 inet 10.44.1.2 --> 10.254.254.254 netmask 0xffffffff inet6 fe80::21d:fff:feff:88a8%ng0 prefixlen 64 scopeid 0x8</up,pointopoint,running,noarp,simplex,multicast></full-duplex></broadcast,running,simplex,multicast></promisc></up,running></up,loopback,running,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast>
Логи файервола:
Mar 12 06:31:54 NG0 10.44.1.2:56270 94.51.76.137:2048 TCP:A
-
есть клиент СЭД который коннектится к серверу через TCP Gate. Пакеты до клиента идут, а вот от клиента стопоряться.
А что такое СЭД и TCP Gate? Коннектится к какому серверу? Как проверялось, что пакеты до клиента идут?
-
есть клиент СЭД который коннектится к серверу через TCP Gate. Пакеты до клиента идут, а вот от клиента стопоряться.
А что такое СЭД и TCP Gate?
СЭД - система электронного документооборота
TCP GAte - шлюз. Шлюз представлен как внешний модуль *.dll, который импортирует и экспортирует пакеты информации. Пакеты системы физически не создаются в виде файлов, а хранятся в базе и при установлении tcp-соединения передаются от передающей стороны к принимающей при помощи протокола TCP/IP.Коннектится к какому серверу? Как проверялось, что пакеты до клиента идут?
У сервера динамический IP привязан к dyndns.org
В мониторе транспортной системы клиента СЭД можно посмотреть какие пакеты пришли.
Такое впечатление что pfsence блокирует пакеты которые идут с NG0(PPPoE соединение). -
Ох нификасебе…
Ну тогда можно посмотреть ещё на```
pfctl -srХотя с другой стороны… если пакеты приходят на шлюз, но не приходят от него, то pfSense не виноват
tcpdump -ni ng0 host ip_address_of_tcp_gate
может помочь понять где что.
-
Спасибо, в понедельник попробую.
-
Что я только не пробовал, и под конец (когда руки уже опустились :)) я всё грохнул и установил заново. Пакеты пошли, и транспорт заработал.
Огромное спасибо за помощь. -
Что я только не пробовал, и под конец (когда руки уже опустились :)) я всё грохнул и установил заново. Пакеты пошли, и транспорт заработал.
Огромное спасибо за помощь.ставь решно и закрывай тему тогда