DMZ зона, подсеть белых IP

vitalylll

Доброго времени суток! Не могу найти внятной информации по тому как правильно сделать DMZ зону.

Имеем:
1. Белый статический адрес от провайдера 85.10.A.186
2. Диапазон дополнительных белых адресов 85.10.C.129 - 85.10.C.139

На сервере с адресом WAN - 85.10.A.186 имеется 3 сетевых интерфейса
LAN - 192.168.0.0/24
DMZ - 85.10.C.129

В сети DMZ еще 2 сервера
85.10.C.133
85.10.C.137
На каждом рабочие 100% правила для внутренних LAN подсетей
(ранее стояла старая cisco, настроенная с DMZ областью, все работало отлично, все порты открытые
на 85.10.C.133 и 85.10.C.137 работали корректно, как обычные внешние сервера)

По найденным инструкциям создано правило для DMZ интерфейса:

IPv4 * DMZ net * ! LAN net * * none

Получить доступа к OpenVPN серверу на машине 85.10.C.137 не удается. Не пойму где блокируется.

rubic

На WAN нужно разрешить доступ в сеть 85.10.C.129/?? - какая маска, кстати?

Pass IPv4 *    *    *    85.10.C.129/??    *    *    none

vitalylll

Об этом я тоже подумал, правило во вкладке WAN сделал:

IPv4 * DMZ net * * * * none

Маска 28

Да, кстати, эффекта это не дало, и клиенты LAN сети сервера 85.10.C.133 видят через 2ip и остальные сервисы, что у них внешний IP - 85.10.A.186, а должны видеть 85.10.C.133.

rubic

В правиле DMZ net должна стоять в столбце Destination
Source, Source Port и Destination Port должны быть *

rubic

@vitalylll:

клиенты LAN сети сервера 85.10.C.133 видят через 2ip и остальные сервисы, что у них внешний IP - 85.10.A.186, а должны видеть 85.10.C.133.

Это значит, что работает Outbound NAT для 85.10.C.128/28
Переведите Outbound NAT в Manual Outbound NAT rule generation и удалите правила для DMZ net - они не нужны

vitalylll

Кажется понял, спасибо! Вечером попробую, отпишусь.

vitalylll

Это значит, что работает Outbound NAT для 85.10.C.128/28
Переведите Outbound NAT в Manual Outbound NAT rule generation и удалите правила для DMZ net - они не нужны

Точно, удалил два созданных автоматом правила, и все заработало как нужно! Спасибо за помощь!

vitalylll

Рано обрадовался.. Доступа к серверам в подсети нет. Неужели на Pfsense с DMZ придется двойной проброс делать? Получается - на сервере, находящемся в DMZ открытые порты так и не работают. Хотя на компах в LAN виден как внешний: 85.10.C.133

werter

Доступа к серверам в подсети нет

А если правило в fw добавить ?

vitalylll

@werter:

Доступа к серверам в подсети нет

А если правило в fw добавить ?

А какое? У меня получается на основном я делаю проброс например Port:21 до 85.10.C.133, а на 85.10.C.133 уже до адреса в локальной сети. Хотя логично было бы создать правило на 85.10.C.133, и доступ появился, как избежать дополнительного проброса? Тоесть DMZ и не DMZ пока что

vitalylll

Создал правило в PF открыть в DMZ-subnet 1-65000 порты…  ;D Конечно все сразу работает, но это же костыль?

werter

Эээ, а если вкл. логирование fw, обращаться к DMZ серверам извне и смотреть логи?

vitalylll

Тут моих знаний уже явно не хватает. В логах вижу что просто блочит мой запрос на 1194.