вопрос по NAT Reflection в 2.2.6

PbIXTOP · Feb 11, 2016, 2:32 AM

@werter:

Надо бы попасть с LAN1 по внешнему (те. через один из WAN) адресу на RDP в LAN2.

А зачем ? Что мешает ходить через внутреннюю адресацию ? Добавьте правила с LAN1 на LAN2.

Все очень просто: гулющие "по миру" менеджеры, заходящие в офис ненадолго. Работают по внешней адресации, ради работы в офисе перестраивать им клиента? Мы же админы, люди ленивые :)

Если есть возможность соберите dump пакетов.
Было у меня подобное — обратно pfsense закидывал пакет, но поскольку клиент и сервер находились в одной подсети обратный пакет шел в машину напрямую и отвергался интерфейсом естественно.
Как вариант если используете NAT порт в порт использовать DNS записи для подключения.
А Pure NAT не работает поскольку ответ от сервера уже не меняет IP адрес.

Вот еще пара статей может помогут.
https://forum.pfsense.org/index.php?topic=26172.0
https://doc.pfsense.org/index.php/Why_can't_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks

Лично я пользуюсь DNS записями или прописываю Port Forward c Outbond NAT на локальных интерфейсах.

werter · Feb 11, 2016, 9:10 AM

@Shaman2:

@werter:

Надо бы попасть с LAN1 по внешнему (те. через один из WAN) адресу на RDP в LAN2.

А зачем ? Что мешает ходить через внутреннюю адресацию ? Добавьте правила с LAN1 на LAN2.

Все очень просто: гулющие "по миру" менеджеры, заходящие в офис ненадолго. Работают по внешней адресации, ради работы в офисе перестраивать им клиента? Мы же админы, люди ленивые :)

С пом. Portforward можно перенаправить все что идет во вне - перенаправлять во внутрь для этих менеджеров.
Может я непонятно выразился, пардон.

U-351 · Apr 5, 2016, 9:57 AM

Проблема с внутренними/внешними подключениями изящно решается с помощью DNS без NAT.

Создаете "белый" домен, прописываете в него "белый" адрес.
Создаете в DNS Forwarders в Host Overrides запись хоста с тем же именем, но с локальным IP.

В итоге своим менеджерам прописываете FQDN хоста, при подключении извне они берут белый адрес сервера. При подключении изнутри, белый адрес перекрывается локальным IP сервера.

pigbrother · Apr 5, 2016, 11:59 AM

Не используете ли вы limiter?
Недавно столкнулся с тем, что включение лимитера отключает в 2.2.6 работоспособность NAT Reflection
как NAT + proxy так и pure NAT.

Похоже это баг:
https://forum.pfsense.org/index.php?topic=96810.0
https://redmine.pfsense.org/issues/4326

Sobleum · Apr 12, 2016, 2:06 PM

Видимо это проблема релиза. Сам столкнулся с этим. Вот в этой ветке: https://forum.pfsense.org/index.php?topic=94881.0;all разбирают схожий момент. Как я понял создаются не полные правила, но даже допил руками не спасает. А на счет NAT+Proxy, мне кажется вы зря переживаете, ибо "… TCP and UDP protocols are supported." (в описании к режиму). А другие протоколы я, по крайней мере, еще ни разу не прокидывал.

pigbrother · Apr 12, 2016, 1:54 PM

Я бы не назвал это конкретно проблемой релиза.

Использую NAT Reflection в 2.2.6, начал использовать еще в 2.0.
2.2.6, правда не чистая, а получена обновлениями с 2.0.

Sobleum · Apr 12, 2016, 2:03 PM

А в той ветке как раз и говорится, что в обновленных версиях с 2.1.5 все работает, а при чистой перестановке перестает

Kuraleb · Feb 8, 2017, 2:15 PM

Здравстуйте.

У меня на NAT Reflection на 2.3.2 в режиме NAT+proxy притормаживают или вовсе теряется связь с внутренними сервисами. Это критичный момент, так как взаиомдействие должно производиться непрерывно. А при включении Pure Nat, за зоной DMZ, почта на Zimbra начинает отклонять все письма.

Прочел я https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks.

И подумал, что DNS forwarding было бы действительно неплохим решением, но как тут обстоят дела с необходимостью перенаправления к нестандартным портом?

Т.е. пользователь набирает в браузере www.nameserver.ru, а его переадресует грубо говоря на http://10.0.0.99:8080/index.htm?
Плюс ко всему, на этом же самом IP у нас есть еще ресурсы на порту 8081, на который должно обращаться при указании например http://10.0.0.99:8081/resources/2.
Что бы для пользователя это выглядело просто как набор www.nameserver.ru/resources/2

Реализуемо ли это данным средством?

Спасибо.

werter · Feb 8, 2017, 3:02 PM

Доброе.
Пользователь набирает www.nameserver.ru:8080 и при вкл. dns resolver попадает на 10.0.0.99:8080
Разве это проблема порт добавить ? Закладку им сделайте в браузере, а лучше - сами пусть сделают.

Kuraleb · Feb 8, 2017, 3:14 PM

@werter:

Доброе.
Пользователь набирает www.nameserver.ru:8080 и при вкл. dns resolver попадает на 10.0.0.99:8080
Разве это проблема порт добавить ? Закладку им сделайте в браузере, а лучше - сами пусть сделают.

Увы - это не устроит мое руководство.

Можно было бы сделать так, что бы по определенным адресам прописанным в правиле, пользователя кидало на нужный внутренний сервер с нужным портом. И что бы он не догадывался об этом?

werter · Feb 8, 2017, 4:53 PM

Попробуйте создать правило portforward на LAN. Только оно не сработает, если необходимо заворачивать неск. портов на один и тот же адрес.

Увы - это не устроит мое руководство.

Не повезло Вам с руководством.

PbIXTOP · Feb 9, 2017, 1:33 AM

@Kuraleb:

Здравстуйте.

У меня на NAT Reflection на 2.3.2 в режиме NAT+proxy притормаживают или вовсе теряется связь с внутренними сервисами. Это критичный момент, так как взаиомдействие должно производиться непрерывно. А при включении Pure Nat, за зоной DMZ, почта на Zimbra начинает отклонять все письма.

Прочел я https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks.

И подумал, что DNS forwarding было бы действительно неплохим решением, но как тут обстоят дела с необходимостью перенаправления к нестандартным портом?

Т.е. пользователь набирает в браузере www.nameserver.ru, а его переадресует грубо говоря на http://10.0.0.99:8080/index.htm?
Плюс ко всему, на этом же самом IP у нас есть еще ресурсы на порту 8081, на который должно обращаться при указании например http://10.0.0.99:8081/resources/2.
Что бы для пользователя это выглядело просто как набор www.nameserver.ru/resources/2

Реализуемо ли это данным средством?

Спасибо.

А как тогда же работают внешние пользователи если их перекидывает на серые IP?

Kuraleb · Feb 9, 2017, 2:38 PM

@PbIXTOP:

А как тогда же работают внешние пользователи если их перекидывает на серые IP?

А их никуда не перекидывает.

PbIXTOP · Feb 10, 2017, 4:28 AM

@Kuraleb:

@PbIXTOP:

А как тогда же работают внешние пользователи если их перекидывает на серые IP?

А их никуда не перекидывает.

Так может стоит настроить сервисы, чтоб и внутренних не перекидывало, а работало для всех одинаково?

werter · Feb 10, 2017, 9:50 AM

Настройте split dns .

Kuraleb · Feb 13, 2017, 5:51 AM

@PbIXTOP:

@Kuraleb:

@PbIXTOP:

А как тогда же работают внешние пользователи если их перекидывает на серые IP?

А их никуда не перекидывает.

Так может стоит настроить сервисы, чтоб и внутренних не перекидывало, а работало для всех одинаково?

У нас попросту нет серых IP)

werter · Feb 13, 2017, 8:50 AM

Т.е. у вас в сети у всех белые ip ?

bill_open · Feb 15, 2017, 1:37 PM

Такая же проблема.
Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
p.s. pf2.1.2

PbIXTOP · Feb 16, 2017, 4:51 AM

@bill_open:

Такая же проблема.
Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
p.s. pf2.1.2

Намного проще разрешить трафик на этот порт из LAN1 чем заморачиваться с NAT Proxy
Если сервисы в LAN2 не принимают трафик из подсетей LAN1, тогда можно еще добавить правило NAT'а на интерфейсе LAN2 для подсетей c LAN1

bill_open · Feb 16, 2017, 6:35 AM

@PbIXTOP:

@bill_open:

Такая же проблема.
Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
p.s. pf2.1.2

Намного проще разрешить трафик на этот порт из LAN1 чем заморачиваться с NAT Proxy
Если сервисы в LAN2 не принимают трафик из подсетей LAN1, тогда можно еще добавить правило NAT'а на интерфейсе LAN2 для подсетей c LAN1

Это уже сделано, но так же как и в предыдущем случае это не нравится руководству)) Единственный вариант который я вижу, ~~это ударить себя в голову~~ и ~~не заниматься ерундой и сменить профессию~~ строить универсальные топологии.