вопрос по NAT Reflection в 2.2.6
-
Надо бы попасть с LAN1 по внешнему (те. через один из WAN) адресу на RDP в LAN2.
А зачем ? Что мешает ходить через внутреннюю адресацию ? Добавьте правила с LAN1 на LAN2.
Все очень просто: гулющие "по миру" менеджеры, заходящие в офис ненадолго. Работают по внешней адресации, ради работы в офисе перестраивать им клиента? Мы же админы, люди ленивые :)
-
Надо бы попасть с LAN1 по внешнему (те. через один из WAN) адресу на RDP в LAN2.
А зачем ? Что мешает ходить через внутреннюю адресацию ? Добавьте правила с LAN1 на LAN2.
Все очень просто: гулющие "по миру" менеджеры, заходящие в офис ненадолго. Работают по внешней адресации, ради работы в офисе перестраивать им клиента? Мы же админы, люди ленивые :)
Если есть возможность соберите dump пакетов.
Было у меня подобное — обратно pfsense закидывал пакет, но поскольку клиент и сервер находились в одной подсети обратный пакет шел в машину напрямую и отвергался интерфейсом естественно.
Как вариант если используете NAT порт в порт использовать DNS записи для подключения.
А Pure NAT не работает поскольку ответ от сервера уже не меняет IP адрес.Вот еще пара статей может помогут.
https://forum.pfsense.org/index.php?topic=26172.0
https://doc.pfsense.org/index.php/Why_can't_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networksЛично я пользуюсь DNS записями или прописываю Port Forward c Outbond NAT на локальных интерфейсах.
-
Надо бы попасть с LAN1 по внешнему (те. через один из WAN) адресу на RDP в LAN2.
А зачем ? Что мешает ходить через внутреннюю адресацию ? Добавьте правила с LAN1 на LAN2.
Все очень просто: гулющие "по миру" менеджеры, заходящие в офис ненадолго. Работают по внешней адресации, ради работы в офисе перестраивать им клиента? Мы же админы, люди ленивые :)
С пом. Portforward можно перенаправить все что идет во вне - перенаправлять во внутрь для этих менеджеров.
Может я непонятно выразился, пардон. -
Проблема с внутренними/внешними подключениями изящно решается с помощью DNS без NAT.
- Создаете "белый" домен, прописываете в него "белый" адрес.
- Создаете в DNS Forwarders в Host Overrides запись хоста с тем же именем, но с локальным IP.
В итоге своим менеджерам прописываете FQDN хоста, при подключении извне они берут белый адрес сервера. При подключении изнутри, белый адрес перекрывается локальным IP сервера.
-
Не используете ли вы limiter?
Недавно столкнулся с тем, что включение лимитера отключает в 2.2.6 работоспособность NAT Reflection
как NAT + proxy так и pure NAT.Похоже это баг:
https://forum.pfsense.org/index.php?topic=96810.0
https://redmine.pfsense.org/issues/4326 -
Видимо это проблема релиза. Сам столкнулся с этим. Вот в этой ветке: https://forum.pfsense.org/index.php?topic=94881.0;all разбирают схожий момент. Как я понял создаются не полные правила, но даже допил руками не спасает. А на счет NAT+Proxy, мне кажется вы зря переживаете, ибо "… TCP and UDP protocols are supported." (в описании к режиму). А другие протоколы я, по крайней мере, еще ни разу не прокидывал.
-
Я бы не назвал это конкретно проблемой релиза.
Использую NAT Reflection в 2.2.6, начал использовать еще в 2.0.
2.2.6, правда не чистая, а получена обновлениями с 2.0. -
А в той ветке как раз и говорится, что в обновленных версиях с 2.1.5 все работает, а при чистой перестановке перестает
-
Здравстуйте.
У меня на NAT Reflection на 2.3.2 в режиме NAT+proxy притормаживают или вовсе теряется связь с внутренними сервисами. Это критичный момент, так как взаиомдействие должно производиться непрерывно. А при включении Pure Nat, за зоной DMZ, почта на Zimbra начинает отклонять все письма.
Прочел я https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks.
И подумал, что DNS forwarding было бы действительно неплохим решением, но как тут обстоят дела с необходимостью перенаправления к нестандартным портом?
Т.е. пользователь набирает в браузере www.nameserver.ru, а его переадресует грубо говоря на http://10.0.0.99:8080/index.htm?
Плюс ко всему, на этом же самом IP у нас есть еще ресурсы на порту 8081, на который должно обращаться при указании например http://10.0.0.99:8081/resources/2.
Что бы для пользователя это выглядело просто как набор www.nameserver.ru/resources/2Реализуемо ли это данным средством?
Спасибо.
-
Доброе.
Пользователь набирает www.nameserver.ru:8080 и при вкл. dns resolver попадает на 10.0.0.99:8080
Разве это проблема порт добавить ? Закладку им сделайте в браузере, а лучше - сами пусть сделают. -
Доброе.
Пользователь набирает www.nameserver.ru:8080 и при вкл. dns resolver попадает на 10.0.0.99:8080
Разве это проблема порт добавить ? Закладку им сделайте в браузере, а лучше - сами пусть сделают.Увы - это не устроит мое руководство.
Можно было бы сделать так, что бы по определенным адресам прописанным в правиле, пользователя кидало на нужный внутренний сервер с нужным портом. И что бы он не догадывался об этом?
-
Попробуйте создать правило portforward на LAN. Только оно не сработает, если необходимо заворачивать неск. портов на один и тот же адрес.
Увы - это не устроит мое руководство.
Не повезло Вам с руководством.
-
Здравстуйте.
У меня на NAT Reflection на 2.3.2 в режиме NAT+proxy притормаживают или вовсе теряется связь с внутренними сервисами. Это критичный момент, так как взаиомдействие должно производиться непрерывно. А при включении Pure Nat, за зоной DMZ, почта на Zimbra начинает отклонять все письма.
Прочел я https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks.
И подумал, что DNS forwarding было бы действительно неплохим решением, но как тут обстоят дела с необходимостью перенаправления к нестандартным портом?
Т.е. пользователь набирает в браузере www.nameserver.ru, а его переадресует грубо говоря на http://10.0.0.99:8080/index.htm?
Плюс ко всему, на этом же самом IP у нас есть еще ресурсы на порту 8081, на который должно обращаться при указании например http://10.0.0.99:8081/resources/2.
Что бы для пользователя это выглядело просто как набор www.nameserver.ru/resources/2Реализуемо ли это данным средством?
Спасибо.
А как тогда же работают внешние пользователи если их перекидывает на серые IP?
-
А как тогда же работают внешние пользователи если их перекидывает на серые IP?
А их никуда не перекидывает.
-
-
Настройте split dns .
-
-
Т.е. у вас в сети у всех белые ip ?
-
Такая же проблема.
Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
p.s. pf2.1.2 -
Такая же проблема.
Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
p.s. pf2.1.2Намного проще разрешить трафик на этот порт из LAN1 чем заморачиваться с NAT Proxy
Если сервисы в LAN2 не принимают трафик из подсетей LAN1, тогда можно еще добавить правило NAT'а на интерфейсе LAN2 для подсетей c LAN1