Измучился с пробросом портов
-
Конечно тестирую с другого интернет канала(другой провайдер/другие айпишники) т.е. однозначно тестирую подключение из вне.
Схематичная карта сети
-
В порт форвард для 8088 Dest.addr – Wan address. Правило XZ на 3128 отключите. (Зачем сквид на порт-форваде?. Обычно кешируют скидом на внутренних интерфейсах)
Сделано, но ничего не изменилось. По прежнему пока не работает ни одно правило
-
Выключите временно Squid . Пинги с интерфейсов PF до внутренних адресов идут?
-
А в правилах LAN что прописано?
Сервак-то сам может в интенет выходить, шлюз на нём pfSense прописан?
А из локалки-то по 80 порту доступ к серваку есть? -
А в правилах LAN что прописано?
Сервак-то сам может в интенет выходить, шлюз на нём pfSense прописан?
А из локалки-то по 80 порту доступ к серваку есть?Сам сервак в инет гуляет без проблем, на нем шлюзом прописан Pfsense, из локалки доступ на 80 порт есть, из локалки даже если ввести в браузер внешний айпишник и порт перебрасывает куда надо т.е. срабатывает схема lan->wan->lan. Из внешки пройти не могу
-
Выключите временно Squid . Пинги с интерфейсов PF до внутренних адресов идут?
К сожалению уже ушел с работы, внешнего доступа нет. Завтра устром в 8:30 по Мск попробую и отпишусь о результатах. Но из локалки сервак отлично пингуется(из внешки тоже пинг есть)
-
Правильно. Но пинг–это ICMP, а http на порт 8088 при Ваших настройках должен заворачиваться на сквид (т.е. весь входящий на WAN http трафик) . А дальше куда трафику идти?
P.S. Да и пинг из-вне с такими правилами идти на внутренние машины не должен. На WAN нет разрешающих правил для ICMP.
-
Правильно. Но пинг–это ICMP, а http на порт 8088 при Ваших настройках должен заворачиваться на сквид (т.е. весь входящий на WAN http трафик) . А дальше куда трафику идти?
т.е. получается надо копать squid чтобы не мешал бегать траффику из вне?Обязатаельно завтра попробую его отключить и протестить
-
Правило Dest.Addr WAN address и Dest. ports 3128 NAT IP 192.168.1.3 по-моему вообще надо удалить, а
вместо правила Dest.Addr * Dest. ports 8088 NAT 192.168.1.2 NAT Ports 80 вместо Dest.Addr *
прописать Dest.Addr WAN address.
По идее всё должно железно работать.
А ещё - не стоит ли на серваке касперский - не включен ли режим невидимости, тогда в локалке всё
будет бегать, а из интернета фигвам. -
Ну что ж утренний отчет по действиям что советовали вчера:
1. Выключил сквид-проверил соединение из внешки-не работает
2. Еще раз проверил все правила файрвола и пробросов, на данный момент они вот такие(см.приложения)
3. Так как на данный момент почтовый сервак очень важен решил все таки колдовать с пробросом RDP подключения на сервак 1с(айпишник 192.168.1.199)
Открыл для него порт 2000(2ip.ru видит порт открытым, хотя в тоже время порт 8088 виден закрытым)
4. Пробовал телнетом проваливаться по портам, из внешки ничего не проходит(сквид и включен и выключен-результат один). Если телнетом долбить находясь в нутри сети по внешнему айпишнику соединение отличное(RDP также работает отлично даже если цепляемся на внешний IP находясь внутри сети)
5. Антивирь на серваке 1с отключен, брендмауэр тоже(как система на 1с серваке юзается win7 prof с патченым файлом для кол-ва RDP)Какие еще будут советы как победить шантан машину?
P.S. Давайте теперь будем рассматривать проброс RDP подключения т.к. данный сервак уже настроен на шлюз с PFsense
-
А скопировать в закладке LAN правило с LAN net и вместо LAN net поставить 192.168.1.2,
и такое же правило для 192.168.1.199?
А с внешки RDP как набираете - mstsc <белый ip-адрес>:2000,
а в браузере <белый ip-адрес>:8088? -
Попробовал и так(см 1 картинку) и так (см 2 картинку) результат тот же-из внешки подключиться не удалось
-
RDP набираю конечно же "белый IP:2000" ну и в браузере соответственно тоже с указанием порта
-
Удалите в LAN закладке два нижних правила, они ни к чему.
В принципе, если создать алиас к примеру servers, в него прописать серваки 192.168.1.2 и 192.168.1.199
и в правиле вместо LAN net поставить алиас servers, всё просто обязано железно работать!
У меня работает и RDP и VNC и видеонаблюдение. -
В NAT port-forward Dest.port поставте 3389. Если Вы подключаетесь из Windows "Подключение к удаленному рабочему столу" то заработает.
-
С 2000 - портом тоже все работает. В "Подключение к удаленному рабочему столу" В параметрах входа – Компьютер -- ip.address:portПроверил на своей сети работает.</ip.address:port>
-
Настройка как на Ваших скринах в начале топика, только без сквида и правило 8088 с Dest.addr – WAN address.
P.S. И 8088 с такими настройками работает. И на LAN оставте только разрешающее правило (а 2 нижних уберите)
-
Все товарищи, всем спасибо. Помог 3SV!!!Низкий поклон. Все решилось с помощью алиасов!Если кому надо могу выбросить скрины настроек
-
Все товарищи, всем спасибо. Помог 3SV!!!Низкий поклон. Все решилось с помощью алиасов!Если кому надо могу выбросить скрины настроек
выброси скрины настроек
-
Бросил тебе в личку, форум глюкает что то, не могу прикрепить файлы