RDP с 2 каналов интернета
-
Добрый день.
Есть 2003 сервер, на нем доступ в инет. (белый IP и естественно шлюз). Поднят RDP
Он же по локалке связан с машиной с PFSENSE. (ип сервера 192.168.2.2, Pfsense 192.168.2.1)
Как мне прокинуть RDP еще и через PFSENSE.
Сделал правило в NAT.
Если я на 2003 ставлю шлюзом 192.168.2.1, то начинает работать через PFSENSE, но падает через канал инета который напрямую проведен к серваку.
Может ли PFSENSE пробрасывать пакеты так, что бы сервак считал что пакет пришел не с инета, а с IP PFSENSE. Чтото типа proxy port. -
Можно все, если структура сети не экзотическая.
-
Можно все, если структура сети не экзотическая.
Не знаю что здесь экзотичного. Две машины одна под 2003, другая под pfsense. Два разных провайдера, один подключен к 2003, второй к pfsense. Между машинами сетка. На 2003 поднят RDP.
Вопрос: как на RDP подключатся с 2 разных провайдеров одновременно? -
Можно все, если структура сети не экзотическая.
Не знаю что здесь экзотичного. Две машины одна под 2003, другая под pfsense. Два разных провайдера, один подключен к 2003, второй к pfsense. Между машинами сетка. На 2003 поднят RDP.
Вопрос: как на RDP подключатся с 2 разных провайдеров одновременно?Ну со второй попытки получилось объяснить.
Можно попытаться настроить portmapping на WAN + NAT для сокрытия адреса-источника. -
Можно все, если структура сети не экзотическая.
Не знаю что здесь экзотичного. Две машины одна под 2003, другая под pfsense. Два разных провайдера, один подключен к 2003, второй к pfsense. Между машинами сетка. На 2003 поднят RDP.
Вопрос: как на RDP подключатся с 2 разных провайдеров одновременно?Ну со второй попытки получилось объяснить.
Можно попытаться настроить portmapping на WAN + NAT для сокрытия адреса-источника.Спасибо. Слова понятные, а как сделать не пойму. Сутки инет рыл. Как в pfsense можно скрыть адрес источника? Или это все делается средствами freebsd. Я внем полный ноль. Может кто ссылку кинет или объяснит чайнику.
Нашел вот это:
С.2.1.6.4.3. TCP proxy
Можно произвести проксирование TCP соединений при помощи приложений из userspace. Приложение перехватывает соединение, устанавливает соединение с сервером и далее пробрасывает данные через себя. Простейший пример можно сделать при помощи inetd(8) (см. Раздел 5.17.2, «Суперсервер inetd(8)»)и nc(1) (см. Раздел 6.4.4, «telnet(1), nc(1)»). Следующая строка в /etc/inetd.conf(5) создаёт сокет привязанный к кольцевому интерфейсу, порт номер 5000. Соединение пробрасывается на 80-й порт машины 192.168.1.10:
127.0.0.1:5000 stream tcp nowait nobody /usr/bin/nc nc -w 20 192.168.1.10 80Теперь на внутреннем интерфейсе мы можем связать 80-й порт с нашим proxy-сервером:
rdr on $int_if proto tcp from $int_net to $ext_if port 80 ->
127.0.0.1 port 5000это не по моей ли теме?
-
Маппинг пробрасывает соединения клиента с интерфейса на указанный IP:port путем замены destIP/destPort в пакетах.
NAT маскирует соединения клиента путем замены srcIP/srcPort на свои.Клиент из внешней сети подключается на WAN - пакеты [src ipCL:portCL][dest ipWAN:portWAN].
После применения порт-маппинга - пакеты [src ipCL:portCL][dest ipSERVER:portSERVER].
Но в таком виде Server будет кидать ответ для SRC на шлюз по умолчанию, коим pfSense не является.Применяем NAT - пакеты [src ipPFSENSE:portPFSENSE][dest ipSERVER:portSERVER].
Ответ сервера будет идти на pfsense, который расположен в той-же сетиЧто нужно сделать - зайти в меню NAT и настроить портмаппинг (SRCclient->WAN->DESTserver) на WAN, и Outbound NAT (SRCwan->LAN->DESTserver) на LAN
-
Спасибо все заработало!!!
В NAT нарисовал так:
WAN TCP * * WAN address 3389 (MS RDP) 192.168.2.8 3389 (MS RDP)
что вообщемто было сделано сразув Outbound:
LAN any * 192.168.2.8/32 3389 * * NO -
Добавил в FAQ
-
В NAT нарисовал так:
WAN TCP * * WAN address 3389 (MS RDP) 192.168.2.8 3389 (MS RDP)
что вообщемто было сделано сразув Outbound:
LAN any * 192.168.2.8/32 3389 * * NOЧет не работает.
1. В шапке Ip 192.168.2.2 , а в правилах 192.168.2.8
2. Прописан ли шлюз на (виндовой машине) 192.168.2.8 и какой? -
1. В шапке вопрос ставился теоретически, а правилах прописано для конкретной машины 192.168.2.8. RDP поднят на ней.
2. На виндовой машине прописан шлюз на второго провайдера. -
2. На виндовой машине прописан шлюз на второго провайдера.
Следовательно, на виндовом сервере поднят нат и локольный интерфес 192.168.2.8 не имеет шлюза?
-
2. На виндовой машине прописан шлюз на второго провайдера.
Следовательно, на виндовом сервере поднят нат и локольный интерфес 192.168.2.8 не имеет шлюза?
да. почти так :)
если точно, то в конкретно эта виндовая машина имеет 1 сетевую плату с 2 ип 192.168.1.8 и 192.168.2.8 и шлюзом 192.168.1.1
-
виндовая машина имеет 1 сетевую плату с 2 ип 192.168.1.8 и 192.168.2.8 и шлюзом 192.168.1.1
Попытка реализации.
Pfsense
WAN x.x.x.x/xx
GW x.x.x.x
**LAN 192.168.1.1/24Win xp** два айпи на одном интерфейсе.
IP-1 192.168.0.12/24
GW 192.168.0.15IP-2
192.168.1.12/24
GW отсутствуетПравила NAT
Где неправильно?
-
IP-2
192.168.1.12/24
GWотсутствует= 192.168.1.1 -
IP-2
192.168.1.12/24
GWотсутствует= 192.168.1.1Тогда это стандартная ситуация и без доп. телодвижений все работает!
Мы рассматриваем проброс порта в ситуации когда Pfsense не является шлюзом по умолчанию!?
Или я ошибся? -
IP-2
192.168.1.12/24
GWотсутствует= 192.168.1.1Тогда это стандартная ситуация и без доп. телодвижений все работает!
Мы рассматриваем проброс порта в ситуации когда Pfsense не является шлюзом по умолчанию!?
Или я ошибся?Не читал сверху..
Тогда дополнительные телодвижения заключаются в организации обратного NAT на внутреннем интерфейсе pfSense в дополнение к портфорварду.
Просто портфорвард транслирует пакеты от имени внешнего источника и RDP сервер пытается ответить через шлюз по умолчанию. Добавление внутреннего NAT сделает источником пакетов LAN интерфейс PFSense, а он находится в одной сети с сервером и хорошо ему известен. -
Добавление внутреннего NAT сделает источником пакетов LAN интерфейс PFSense, а он находится в одной сети с сервером и хорошо ему известен.
Я так понял это и есть внутренний нат. Возможно еще какие-то условия упущены.
Firewall: NAT: Outbound
-
Ага, вроде оно… чего-то, не внимательно посмотрел..
-
-
Как я понял чтото не работает?
А вот так это выглядит на сервере
C:\Documents and Settings\Администратор>netstat -nАктивные подключения
Имя Локальный адрес Внешний адрес Состояние
….........
TCP 192.168.1.8:3389 46.241.95.60:26786 ESTABLISHED
............
TCP 192.168.2.8:3389 192.168.2.1:59253 ESTABLISHED
............Да для начала проверь проблема в pfsense или в виндовой машине, из сети то RDP на ип 192.168.1.12 и 192.168.0.12 поднимается?
-
Да для начала проверь проблема в pfsense или в виндовой машине, из сети то RDP на ип 192.168.1.12 и 192.168.0.12 поднимается?
Шайтан! Правила одинаковые. РДП работат из обеих подсетей. Правила брендамуера всё всем. Но не работает редирект. :(
В понедельник переустановлю ПФ и отпишусь.Может роут где то прописывали, или чекбасик гдето убрали поставили?
-
Да для начала проверь проблема в pfsense или в виндовой машине, из сети то RDP на ип 192.168.1.12 и 192.168.0.12 поднимается?
Шайтан! Правила одинаковые. РДП работат из обеих подсетей. Правила брендамуера всё всем. Но не работает редирект. :(
В понедельник переустановлю ПФ и отпишусь.Может роут где то прописывали, или чекбасик гдето убрали поставили?
Да нет вроде не каких чекбоксов не ставил.
Попробуй на видовой машине шлюз прописать на pfsense, а на pfsense сделай только правило для NAT: portforwars.
Если все заведется, убей шлюз и допиши правило в NAT: Outbound. -
Да нет вроде не каких чекбоксов не ставил.
Разобрался!
Условие при котором работает редирект
Хе..
Но при этом отвалился инет.
А в режиме Automatic outbound NAT rule generation редирект не работает. -
Ручное правило обычного ната требуется для инета.
-
Ручное правило обычного ната требуется для инета.
Спасибо. Добавил уже. :)
Оформил статейку http://thin.kiev.ua/index.php?option=com_content&view=article&id=456:222&catid=50:pfsense&Itemid=81