Блокируется проброс порта
-
Sense 2.2 Не получается сделать проброс порта, делаю все как по мануалу, но доступа не получаю, как видно на скрине по логам проброс вроде как работает только трафик блокируеться, как будто нет разрешающего правила хотя оно есть -
А адрес 172.16.33.128 у Вас со стороны WAN? В настройках интерфейса WAN опция Block private networks отмечена?
-
А адрес 172.16.33.128 у Вас со стороны WAN? В настройках интерфейса WAN опция Block private networks отмечена?
Да отмечена, все за ваном сейчас , но это я уже делаю для удобства, ибо переключать на рабочую сеть нет времени.
схема такая воткнул два шнурка wan 172.16.0.182 lan 172.16.0.181 и делаю проброс с wan 172.16.0.182:9987 на 172.16.0.153:9987 соответсвенно делаю конект с
172.16.33.128 на 172.16.0.182:9987 должен попасть сюда 172.16.0.153:9987,но блокируеться
По правельному на wan белый ip на lan 172.16.0.181 и делаю проброс на 172.16.0.153:9987 не работает. Так как нет времени для проверки почему, использую первый вариант -
… схема такая воткнул два шнурка wan 172.16.0.182 lan 172.16.0.181 и делаю проброс с wan 172.16.0.182:9987 на 172.16.0.153:9987 ...
маски какие на интерфейсах? они в одной сети?
NAT:Outbound: и LAN и WAN. (!?)
-
маски одинаковые, все в одной сети, собственно какая разница то?Принцип работы то не изменился
поднят у меня сервис на машине 172.16.0.153:9987 я на него прилипаю с любой машины по этому адресу, но его нужно вывести в инет. Я хочу проверить все локально чтоб потом просто переткнуть шнурок с инетом и сменить адрес ван.По этому дал два локальных шнурка ему. -
маски одинаковые, все в одной сети, собственно какая разница то?Принцип работы то не изменился
Разница как-раз есть и принцип работы разный.
Роутер - он, понимаете, должен знать куда и как передавать пакеты.
А по Вашему подключению он ведет себя, как Буриданов осел. -
А адрес 172.16.33.128 у Вас со стороны WAN? В настройках интерфейса WAN опция Block private networks отмечена?
Эта опция - на вкладке Firewall:WAN правило #1, необходимо снять для тестов с локальными сетями. Там есть и другая опция, которую для новичка и его тестов тоже лучше выключить. При реальном использовании на WAN интерфейсе это полезные и нужные опции. Расписывать не буду - в поиске есть.
ИМХО: это выходит не тест - это выходит ерунда. Вот маршрутизировать пакет pfsensy на какой интерфейс? Я так не "мучил" pfsense, но думаю что если подключиться в такой случае на WAN - с WAN интерфейса пакет и должен будет уйти, т.к. это его подсеть. В такой случае логично включить Bypass firewall rules for traffic on the same interface - которая при реальном использовании на WAN Вам не нужна.
К тому же Nat:Outbound нужно убрать правило для LAN - зачем NAT-ить в LAN?
Как должен ответить клиентский комп с ip 172.16.0.153 через pfsense? Как минимум запрос должен придти не с ip адреса той же подсети, и шлюзом для этого клиента в идеале должен быть LAN адрес pfsense.
на вкладке Firewall:WAN правило #4 никогда не будет выполнено, т.к. будет выполнено правило #3 как "более общее" правило
для подобной проверки Вам лучше использовать 2 порта свитча для имитации Интернета (один: для компьютера/ноутбука, второй для WAN pfsense, назначить им ip из одной подсети, но отличной от той, что используется в локальной сети), LAN pfsense подключить к испытуемому комп, или в локальную сеть. Вот и пытайтесь тогда из WAN достать до того компа (на WAN интерфейсе можно все и всем пока тогда разрешить (как минимум по http на WAN address дать доступ отдельным правилом и поставить его)).
-
маски одинаковые, все в одной сети, собственно какая разница то?Принцип работы то не изменился
Разница как-раз есть и принцип работы разный.
Роутер - он, понимаете, должен знать куда и как передавать пакеты.
А по Вашему подключению он ведет себя, как Буриданов осел.Ну если верить логам то он все понимает раз пишет в dest конечный ip только вот трафик он блокирует…
Суть найти причину почему не работает в рабочих условиях, изначально я все сделал по мануалу на реальной сети с интернетом провайдера на wan и lan в мою сеть, и так же не работало, и разве обязательно pfsense быть шлюзом для компьютера с сервисом? Из рабочего варианта сейчас стоит dfl 860e на ней два правила одно sat второе allow, и через нее я прилипаю к сервису как из дома так и с этой же сети при этом в клиенте всегда указан wan ip, а шлюзом может быть как сама dfl так и любой другой шлюз -
маски одинаковые, все в одной сети, собственно какая разница то?Принцип работы то не изменился
Разница как-раз есть и принцип работы разный.
Роутер - он, понимаете, должен знать куда и как передавать пакеты.
А по Вашему подключению он ведет себя, как Буриданов осел.Ну если верить логам то он все понимает раз пишет в dest конечный ip только вот трафик он блокирует…
Суть найти причину почему не работает в рабочих условиях, изначально я все сделал по мануалу на реальной сети с интернетом провайдера на wan и lan в мою сеть, и так же не работало, и разве обязательно pfsense быть шлюзом для компьютера с сервисом? Из рабочего варианта сейчас стоит dfl 860e на ней два правила одно sat второе allow, и через нее я прилипаю к сервису как из дома так и с этой же сети при этом в клиенте всегда указан wan ip, а шлюзом может быть как сама dfl так и любой другой шлюзДля эффективного выполнения целей нужно использовать средства по их назнвачению. Все ответы уже выше есть. В данном случае блокировка правилом №1 на WAN интерфейсе - нужно снять галку Block private networks в настройках WAN интерфейса.
НО! То как сейчас все устроено - это неправильно с точки зрения маршрутизации сетей! Учите матчасть! Как можно проделать Ваш тест я уже писал:
для подобной проверки Вам лучше использовать 2 порта свитча для имитации Интернета (один: для компьютера/ноутбука, второй для WAN pfsense, назначить им ip из одной подсети, но отличной от той, что используется в локальной сети), LAN pfsense подключить к испытуемому комп, или в локальную сеть. Вот и пытайтесь тогда из WAN достать до того компа (на WAN интерфейсе можно все и всем пока тогда разрешить (как минимум по http на WAN address дать доступ отдельным правилом и поставить его)).
-
FAQ https://forum.pfsense.org/index.php?topic=22839.0
В том числе мапинг портов.
В том числе мапинг портов когда pfSense не является шлюзом по умолчанию. -
У меня пока не изменил System: Advanced: Firewall and NAT->NAT Reflection mode for port forwards
Из вешки почему-то не пробрасывалось. -
сейчас пойду поставлю в рабочую сеть, посмотрю еще раз