Перенаправление пакетов

testsia

Добрый день.
Помогите решить задачу. Есть два pfsens и сервер freebsd:
A. 192.168.101.2 pfsens
B. 192.168.110.1 pfsens
C. 192.168.100.1 freebsd

Между pfsens построены тунели  Open VPN.
На роутер "А" приходит запрос из вне.
На роутере "А" есть правило, если запрос идет по порту XXXX все отправлять на роутер "В". Сервер "В" передает запрос клиенту 192.168.100.109. Тот отвечает и отправляет пакет обратно.
Все идет по обратному пути. Сначала сервер "С" после чего "В". Но сервер "В" вместо того что бы передать пакет серверу "А" отправляет его по маршруту по умолчанию в интернет.Вот так это выглядит:
11:59:10.788341 IP 192.168.100.109.80 > 195.20.154.194.50091: tcp 0
11:59:10.790439 IP 192.168.100.109.80 > 195.20.154.194.50092: tcp 0
11:59:11.038575 IP 192.168.100.109.80 > 195.20.154.194.50093: tcp 0

Помогите побороть задачу.

dr.gopher

@testsia:

A. 192.168.1.1
B. 192.168.2.1

Можно попробовать так
http://www.thin.kiev.ua/router-os/50-pfsense/456-222.html

testsia

добавляю правило для форвардинга, и правило ната. И ничего.
Куда копать?

werter

Сначала сервер "С" после чего "В". Но сервер "В" вместо того что бы передать пакет серверу "А" отправляет его по маршруту по умолчанию в интернет.

С каким адресом приходят пакеты на В от С ? Проверьте этот момент. И точно ли приходят?

testsia

Они приходят точно. Вот лог Diagnostics: Packet Capture На WAN интерфейсе:
14:04:07.548617 IP 192.168.100.109.80 > 195.20.154.194.51908: tcp 0
14:04:07.548642 IP 192.168.100.109.80 > 195.20.154.194.51907: tcp 0
14:04:07.744566 IP 192.168.100.109.80 > 195.20.154.194.51907: tcp 0
Они  пытаются выскочить в интернет. И это логично так как адрес на который должен вернутся пакет "НАТОВСКИЙ"(195.20.154.194)
Приходят с адресом  192.168.100.109

werter

Вы то что на скринах на каком из пф делали, на .110? И есть ли на нем маршут из .100. в 101 через него ?

testsia

Все скрины с "B. 192.168.110.1"
На нем есть вот такие маршруты:
default 109.237.XX.XXX  UGS 0 3022747 1500 em0
192.168.60.1 link#14 UHS 0 0 16384 lo0
192.168.60.2 link#14 UH 0 0 1500 ovpns2
192.168.100.0/24 192.168.101.1 UGS 0 2731636 1500 em1
192.168.100.109/32 192.168.60.2 UGS 0 12 1500 ovpns2
192.168.110.0/24 192.168.60.2 UGS 0 1754 1500 ovpns2

Вот этот только что добавил 192.168.100.109/32 192.168.60.2 UGS 0 12 1500 ovpns2
Но не помогло. Сейчас смотрю куда оно вообще пошло.

Теперь пакеты по кругу ходят
Diagnostics: Traceroute на сервере 192.168.110.1
Traceroute output:
1  192.168.60.1 (192.168.60.1)  16.640 ms  15.278 ms  14.190 ms
2  localhost (127.0.0.1)  16.235 ms  14.458 ms  15.505 ms
3  192.168.60.1 (192.168.60.1)  29.376 ms  28.615 ms  31.440 ms
4  localhost (127.0.0.1)  28.376 ms  28.439 ms  29.277 ms
5  192.168.60.1 (192.168.60.1)  43.113 ms  42.598 ms  43.074 ms
6  localhost (127.0.0.1)  42.809 ms  43.090 ms  42.466 ms
7  192.168.60.1 (192.168.60.1)  56.569 ms  56.678 ms  59.080 ms
8  localhost (127.0.0.1)  57.083 ms  56.312 ms  56.459 ms
9  192.168.60.1 (192.168.60.1)  70.671 ms  72.018 ms  71.465 ms

dr.gopher

@testsia:

добавляю правило для форвардинга, и правило ната. И ничего.
Куда копать?

Внимательно смотрите скриншот http://www.thin.kiev.ua/images/stories/pfsense/redir-rdp/nat-out2.jpg

distination - не подсеть, а IP с маской.

testsia

Я пробовал уже по разному.
Сейчас вернул как на скриншоте и результат тот же.

dr.gopher

@testsia:

Я пробовал уже по разному.
Сейчас вернул как на скриншоте и результат тот же.

Почему тогда у вас в графе Soгrce у вас IP адерес а не any?  А в Source port 80 вместо звездочки?

Уверен что и в брендмауере выборочно порты открыты! :-)

testsia

Убрал source. Результат тот же.

werter

А в NAT-е source port на кой ляд оставили? И смените маску на 24 и адрес на адрес сети, а не одного хоста, т.е. на 192.168.100.0/24

testsia

сделал, результат нулевой, пакеты идут наружу. :'(

werter

Diagnostics: Traceroute на сервере 192.168.110.1
Traceroute output:
1  192.168.60.1 (192.168.60.1)  16.640 ms  15.278 ms  14.190 ms
2  localhost (127.0.0.1)  16.235 ms  14.458 ms  15.505 ms

У вас связь вообще есть через опенвпн между 100 и 110 ?? 101 и 100 ?

192.168.100.109/32  192.168.60.2  UGS  0  12  1500  ovpns2   
192.168.110.0/24  192.168.60.2  UGS  0  1754  1500  ovpns2

192.168.100.109/32 смените на 192.168.100.0/24 в настройках ОпенВПН

После проверки\правки выше сказанного, если не заработает, то верните NAT в автомат и снова проверьте.

testsia

Сделал вышесказанное. Проверил все направления по каналам связи все работает.
Переключил в автомат нат, не заработало. Вернул обратно снова не заработало.
Может есть возможность как то по другому это сделать?

pigbrother

Обязательно ли дублировать 192.168.110.0/24 в IPv4 Remote network директивой
route  192.168.110.0 255.255.255.0
в Advanced?

werter

Верно. Это лишнее.

testsia

Если 192.168.110.0/24 в IPv4 Remote network убрать то я перестаю видеть удален ку.
Advanced убрал.
Результат все тот же.

werter

@testsia:

Если 192.168.110.0/24 в IPv4 Remote network убрать то я перестаю видеть удален ку.
Advanced убрал.
Результат все тот же.

Оставаться должно или там или там. Не надо убирать в двух местах сразу.

testsia

Оставил только IPv4 Remote network.
Нашел в нете пишут что для  работы проброса порта из локальной сети необходимо убрать "галку"
http://www.thin.kiev.ua/router-os/50-pfsense/536-internet-g-wang-internet.html
В моей ситуации  такой нет. Есть выбор в NAT Reflection mode for port forwards:
Enable (Pure NAT)
Enable(NAT + Proxy)
Disable
Что ставить? Я думаю в этом проблема.