вопрос по NAT Reflection в 2.2.6
-
Перед тем как сюда писать облазил уже весь гугл и большую часть русской ветки данного форума.
Подскажите как работает NAT Reflection, а именно:имеем WAN1, WAN2 (сделал из них multiWAN)
LAN1 (192.168.1.0), LAN2 (192.168.137.0)На LAN1 офисная сетка (точнее будет, сейчас все в тесте), на LAN2 несколько виртуалок с RDP
Проброс RDP портов с WAN1 на LAN2 и с WAN2 на LAN2 сделан, снаружи все ходит.Надо бы попасть с LAN1 по внешнему (те. через один из WAN) адресу на RDP в LAN2.
Почитал о NAT Reflection, пробую:NAT Reflection mode for port forwards - NAT + proxy работает, но ИМХО устаревший режим и как упомяну ниже не поддерживает udp
NAT Reflection mode for port forwards - pure NAT не работает. Ни в какую нет подключения.Подскажите что я делаю не так и почему pure NAT не работает. Можно было бы забросить все и оставить NAT + proxy, но есть еще проброс портов openvpn c WAN1 на один из адресов LAN2, он по udp и соответственнно он с LAN1 соединятся нехочет ни в какую. Куда копать чтобы работал pure NAT ?
остальные настройки в принципе по умолчанию.
-
Рекомендую к прочтению https://forum.pfsense.org/index.php?topic=22839.msg175297#msg175297
Чтобы сработал NAT из локальной сети на внешний адрес, необходимо сделать port forward и на интерфейсе LAN1 -
Рекомендую к прочтению https://forum.pfsense.org/index.php?topic=22839.msg175297#msg175297
Чтобы сработал NAT из локальной сети на внешний адрес, необходимо сделать port forward и на интерфейсе LAN1Читал, но ранее NAT reflection имел другое меню.
Судя по описанию pure NAT должен делать проброс портов автоматически. Хочется разобраться почему не делает. Вы предлагаете вручную делать проброс с WAN на LAN2 и с LAN1 на LAN2 ? -
Надо бы попасть с LAN1 по внешнему (те. через один из WAN) адресу на RDP в LAN2.
А зачем ? Что мешает ходить через внутреннюю адресацию ? Добавьте правила с LAN1 на LAN2.
-
Надо бы попасть с LAN1 по внешнему (те. через один из WAN) адресу на RDP в LAN2.
А зачем ? Что мешает ходить через внутреннюю адресацию ? Добавьте правила с LAN1 на LAN2.
Все очень просто: гулющие "по миру" менеджеры, заходящие в офис ненадолго. Работают по внешней адресации, ради работы в офисе перестраивать им клиента? Мы же админы, люди ленивые :)
-
Надо бы попасть с LAN1 по внешнему (те. через один из WAN) адресу на RDP в LAN2.
А зачем ? Что мешает ходить через внутреннюю адресацию ? Добавьте правила с LAN1 на LAN2.
Все очень просто: гулющие "по миру" менеджеры, заходящие в офис ненадолго. Работают по внешней адресации, ради работы в офисе перестраивать им клиента? Мы же админы, люди ленивые :)
Если есть возможность соберите dump пакетов.
Было у меня подобное — обратно pfsense закидывал пакет, но поскольку клиент и сервер находились в одной подсети обратный пакет шел в машину напрямую и отвергался интерфейсом естественно.
Как вариант если используете NAT порт в порт использовать DNS записи для подключения.
А Pure NAT не работает поскольку ответ от сервера уже не меняет IP адрес.Вот еще пара статей может помогут.
https://forum.pfsense.org/index.php?topic=26172.0
https://doc.pfsense.org/index.php/Why_can't_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networksЛично я пользуюсь DNS записями или прописываю Port Forward c Outbond NAT на локальных интерфейсах.
-
Надо бы попасть с LAN1 по внешнему (те. через один из WAN) адресу на RDP в LAN2.
А зачем ? Что мешает ходить через внутреннюю адресацию ? Добавьте правила с LAN1 на LAN2.
Все очень просто: гулющие "по миру" менеджеры, заходящие в офис ненадолго. Работают по внешней адресации, ради работы в офисе перестраивать им клиента? Мы же админы, люди ленивые :)
С пом. Portforward можно перенаправить все что идет во вне - перенаправлять во внутрь для этих менеджеров.
Может я непонятно выразился, пардон. -
Проблема с внутренними/внешними подключениями изящно решается с помощью DNS без NAT.
- Создаете "белый" домен, прописываете в него "белый" адрес.
- Создаете в DNS Forwarders в Host Overrides запись хоста с тем же именем, но с локальным IP.
В итоге своим менеджерам прописываете FQDN хоста, при подключении извне они берут белый адрес сервера. При подключении изнутри, белый адрес перекрывается локальным IP сервера.
-
Не используете ли вы limiter?
Недавно столкнулся с тем, что включение лимитера отключает в 2.2.6 работоспособность NAT Reflection
как NAT + proxy так и pure NAT.Похоже это баг:
https://forum.pfsense.org/index.php?topic=96810.0
https://redmine.pfsense.org/issues/4326 -
Видимо это проблема релиза. Сам столкнулся с этим. Вот в этой ветке: https://forum.pfsense.org/index.php?topic=94881.0;all разбирают схожий момент. Как я понял создаются не полные правила, но даже допил руками не спасает. А на счет NAT+Proxy, мне кажется вы зря переживаете, ибо "… TCP and UDP protocols are supported." (в описании к режиму). А другие протоколы я, по крайней мере, еще ни разу не прокидывал.
-
Я бы не назвал это конкретно проблемой релиза.
Использую NAT Reflection в 2.2.6, начал использовать еще в 2.0.
2.2.6, правда не чистая, а получена обновлениями с 2.0. -
А в той ветке как раз и говорится, что в обновленных версиях с 2.1.5 все работает, а при чистой перестановке перестает
-
Здравстуйте.
У меня на NAT Reflection на 2.3.2 в режиме NAT+proxy притормаживают или вовсе теряется связь с внутренними сервисами. Это критичный момент, так как взаиомдействие должно производиться непрерывно. А при включении Pure Nat, за зоной DMZ, почта на Zimbra начинает отклонять все письма.
Прочел я https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks.
И подумал, что DNS forwarding было бы действительно неплохим решением, но как тут обстоят дела с необходимостью перенаправления к нестандартным портом?
Т.е. пользователь набирает в браузере www.nameserver.ru, а его переадресует грубо говоря на http://10.0.0.99:8080/index.htm?
Плюс ко всему, на этом же самом IP у нас есть еще ресурсы на порту 8081, на который должно обращаться при указании например http://10.0.0.99:8081/resources/2.
Что бы для пользователя это выглядело просто как набор www.nameserver.ru/resources/2Реализуемо ли это данным средством?
Спасибо.
-
Доброе.
Пользователь набирает www.nameserver.ru:8080 и при вкл. dns resolver попадает на 10.0.0.99:8080
Разве это проблема порт добавить ? Закладку им сделайте в браузере, а лучше - сами пусть сделают. -
Доброе.
Пользователь набирает www.nameserver.ru:8080 и при вкл. dns resolver попадает на 10.0.0.99:8080
Разве это проблема порт добавить ? Закладку им сделайте в браузере, а лучше - сами пусть сделают.Увы - это не устроит мое руководство.
Можно было бы сделать так, что бы по определенным адресам прописанным в правиле, пользователя кидало на нужный внутренний сервер с нужным портом. И что бы он не догадывался об этом?
-
Попробуйте создать правило portforward на LAN. Только оно не сработает, если необходимо заворачивать неск. портов на один и тот же адрес.
Увы - это не устроит мое руководство.
Не повезло Вам с руководством.
-
Здравстуйте.
У меня на NAT Reflection на 2.3.2 в режиме NAT+proxy притормаживают или вовсе теряется связь с внутренними сервисами. Это критичный момент, так как взаиомдействие должно производиться непрерывно. А при включении Pure Nat, за зоной DMZ, почта на Zimbra начинает отклонять все письма.
Прочел я https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks.
И подумал, что DNS forwarding было бы действительно неплохим решением, но как тут обстоят дела с необходимостью перенаправления к нестандартным портом?
Т.е. пользователь набирает в браузере www.nameserver.ru, а его переадресует грубо говоря на http://10.0.0.99:8080/index.htm?
Плюс ко всему, на этом же самом IP у нас есть еще ресурсы на порту 8081, на который должно обращаться при указании например http://10.0.0.99:8081/resources/2.
Что бы для пользователя это выглядело просто как набор www.nameserver.ru/resources/2Реализуемо ли это данным средством?
Спасибо.
А как тогда же работают внешние пользователи если их перекидывает на серые IP?
-
А как тогда же работают внешние пользователи если их перекидывает на серые IP?
А их никуда не перекидывает.
-
-
Настройте split dns .