Перенаправление пакетов

dr.gopher

@testsia:

A. 192.168.1.1
B. 192.168.2.1

Можно попробовать так
http://www.thin.kiev.ua/router-os/50-pfsense/456-222.html

testsia

добавляю правило для форвардинга, и правило ната. И ничего.
Куда копать?

werter

Сначала сервер "С" после чего "В". Но сервер "В" вместо того что бы передать пакет серверу "А" отправляет его по маршруту по умолчанию в интернет.

С каким адресом приходят пакеты на В от С ? Проверьте этот момент. И точно ли приходят?

testsia

Они приходят точно. Вот лог Diagnostics: Packet Capture На WAN интерфейсе:
14:04:07.548617 IP 192.168.100.109.80 > 195.20.154.194.51908: tcp 0
14:04:07.548642 IP 192.168.100.109.80 > 195.20.154.194.51907: tcp 0
14:04:07.744566 IP 192.168.100.109.80 > 195.20.154.194.51907: tcp 0
Они  пытаются выскочить в интернет. И это логично так как адрес на который должен вернутся пакет "НАТОВСКИЙ"(195.20.154.194)
Приходят с адресом  192.168.100.109

werter

Вы то что на скринах на каком из пф делали, на .110? И есть ли на нем маршут из .100. в 101 через него ?

testsia

Все скрины с "B. 192.168.110.1"
На нем есть вот такие маршруты:
default 109.237.XX.XXX  UGS 0 3022747 1500 em0
192.168.60.1 link#14 UHS 0 0 16384 lo0
192.168.60.2 link#14 UH 0 0 1500 ovpns2
192.168.100.0/24 192.168.101.1 UGS 0 2731636 1500 em1
192.168.100.109/32 192.168.60.2 UGS 0 12 1500 ovpns2
192.168.110.0/24 192.168.60.2 UGS 0 1754 1500 ovpns2

Вот этот только что добавил 192.168.100.109/32 192.168.60.2 UGS 0 12 1500 ovpns2
Но не помогло. Сейчас смотрю куда оно вообще пошло.

Теперь пакеты по кругу ходят
Diagnostics: Traceroute на сервере 192.168.110.1
Traceroute output:
1  192.168.60.1 (192.168.60.1)  16.640 ms  15.278 ms  14.190 ms
2  localhost (127.0.0.1)  16.235 ms  14.458 ms  15.505 ms
3  192.168.60.1 (192.168.60.1)  29.376 ms  28.615 ms  31.440 ms
4  localhost (127.0.0.1)  28.376 ms  28.439 ms  29.277 ms
5  192.168.60.1 (192.168.60.1)  43.113 ms  42.598 ms  43.074 ms
6  localhost (127.0.0.1)  42.809 ms  43.090 ms  42.466 ms
7  192.168.60.1 (192.168.60.1)  56.569 ms  56.678 ms  59.080 ms
8  localhost (127.0.0.1)  57.083 ms  56.312 ms  56.459 ms
9  192.168.60.1 (192.168.60.1)  70.671 ms  72.018 ms  71.465 ms

dr.gopher

@testsia:

добавляю правило для форвардинга, и правило ната. И ничего.
Куда копать?

Внимательно смотрите скриншот http://www.thin.kiev.ua/images/stories/pfsense/redir-rdp/nat-out2.jpg

distination - не подсеть, а IP с маской.

testsia

Я пробовал уже по разному.
Сейчас вернул как на скриншоте и результат тот же.

dr.gopher

@testsia:

Я пробовал уже по разному.
Сейчас вернул как на скриншоте и результат тот же.

Почему тогда у вас в графе Soгrce у вас IP адерес а не any?  А в Source port 80 вместо звездочки?

Уверен что и в брендмауере выборочно порты открыты! :-)

testsia

Убрал source. Результат тот же.

werter

А в NAT-е source port на кой ляд оставили? И смените маску на 24 и адрес на адрес сети, а не одного хоста, т.е. на 192.168.100.0/24

testsia

сделал, результат нулевой, пакеты идут наружу. :'(

werter

Diagnostics: Traceroute на сервере 192.168.110.1
Traceroute output:
1  192.168.60.1 (192.168.60.1)  16.640 ms  15.278 ms  14.190 ms
2  localhost (127.0.0.1)  16.235 ms  14.458 ms  15.505 ms

У вас связь вообще есть через опенвпн между 100 и 110 ?? 101 и 100 ?

192.168.100.109/32  192.168.60.2  UGS  0  12  1500  ovpns2   
192.168.110.0/24  192.168.60.2  UGS  0  1754  1500  ovpns2

192.168.100.109/32 смените на 192.168.100.0/24 в настройках ОпенВПН

После проверки\правки выше сказанного, если не заработает, то верните NAT в автомат и снова проверьте.

testsia

Сделал вышесказанное. Проверил все направления по каналам связи все работает.
Переключил в автомат нат, не заработало. Вернул обратно снова не заработало.
Может есть возможность как то по другому это сделать?

pigbrother

Обязательно ли дублировать 192.168.110.0/24 в IPv4 Remote network директивой
route  192.168.110.0 255.255.255.0
в Advanced?

werter

Верно. Это лишнее.

testsia

Если 192.168.110.0/24 в IPv4 Remote network убрать то я перестаю видеть удален ку.
Advanced убрал.
Результат все тот же.

werter

@testsia:

Если 192.168.110.0/24 в IPv4 Remote network убрать то я перестаю видеть удален ку.
Advanced убрал.
Результат все тот же.

Оставаться должно или там или там. Не надо убирать в двух местах сразу.

testsia

Оставил только IPv4 Remote network.
Нашел в нете пишут что для  работы проброса порта из локальной сети необходимо убрать "галку"
http://www.thin.kiev.ua/router-os/50-pfsense/536-internet-g-wang-internet.html
В моей ситуации  такой нет. Есть выбор в NAT Reflection mode for port forwards:
Enable (Pure NAT)
Enable(NAT + Proxy)
Disable
Что ставить? Я думаю в этом проблема.