Проброс портов за OpenVPN
-
Доброго времени суток.
Столкнулся со следующей проблемой. В удаленный офис, подключенный по OpenVPN, переезжает сервер, на который настроено куча мобильных устройств, перенастраивать которые не вариант. Нужно сделать проброс портов из главного офиса на сервак через туннельВот здесь https://forum.pfsense.org/index.php?topic=72500.0 похожая проблема, но решение не рабочее. В моем случае со временем пропадает связь по IP.
Может кто сталкивался и поделится опытом?
-
Доброе.
Попробуйте без проброса - правилами fw. -
Чет не получается…
-
TcpDump (он же Packet Capture) показал, что пакеты уходят в туннель, хост их получает и отвечает, но у него гетвей уже свой. Проблема с маршрутизацией в данном случае
-
Попробуйте proxy arp
http://xgu.ru/wiki/Proxy_ARP
http://olivier.cochard.me/reseaux/pfsense/case–solving-problem-with-nat -
С него и начал…
-
Т.е. кто-то подкл извне к вашему пф по опенвпн и хочет получить доступ к переехавшему серверу ?
Какая адресация локальных сетей в сети пф и удаленной сети ? Она не должна быть 192.168.0.х или 192.168.1.х.1. На удаленном сервере шлюзом должен быть его пф.
2. Удаленный сервер должен быть доступен из локальн. сети за пф.
3. При подкл. к пф головного офиса клиенты должны получать от этого пф маршрут в удаленную сеть.А лучше - рисуйте схему с адресацией.
-
Примерная схема (извините, рисовал в Paint'е).
Нужно на PfSense 1 настроить проброс портов на сервер за PfSense 2. Туннель на OpenVPN. Сети друг друга видят и в локалке все работает отлично
-
Как мне кажется, нужно копать в сторону Outbound NAT на клиентском PfSense. Но там днем люди работают, эксперименты с сеткой только утром и в обед….
-
Вижу сеть на пф1 192.168.0.x И это очень плохо. Почему ? Потому что чаще всего внешние клиенты, подключаясь, напр., к (своему) ви-фи роутеру получают адрес из сети 192.168.0.x или 192.168.1.x (никто ведь не меняет настр. сети в ви-фи роутерах по умолчанию, да ?) И если они при таких условиях будут подкл к вашему пф1 - будут проблемы. Большие. И вы с большой долей вероятности столкнетесь с этим.
Вариант1- сменить адресацию в локальн. сети пф1.
Вариант2- При подкл. внешн. клиентов к пф1 заворачивать в туннель весь трафик этих клиентов, что создаст нагрузку на ваш интернет-канал.3. При подкл. к пф головного офиса клиенты должны получать от этого пф маршрут в удаленную сеть.
Выполнено ?
-
Да маршруты видно, там уже работает один сервер. По поводу Wi-Fi - это учли, отключаем при настройке DHCP, и либо включаем режим AP, либо используем LAN интерфейс. Проблемы бывают только с особо талантливыми людьми со статичными IP
-
Да маршруты видно, там уже работает один сервер. По поводу Wi-Fi - это учли, отключаем при настройке DHCP, и либо включаем режим AP, либо используем LAN интерфейс. Проблемы бывают только с особо талантливыми людьми со статичными IP
Вы меня не поняли. Как вы можете их учесть ? Заходит чел в кафе или приходит домой и подкл. к своему ви-фи. Получает адрес из того диапазона, что я описал выше. После подкл. к впн на пф1. Всё. Приехали. Конфликт адресов. Вы за каждым бегать будете?
"Спасибо" скажите тому, кто рабочую сеть строил с такой адресацией.
-
Мне кажется, что мы с Вами оба запутались. Клиенты не подключаются по VPN, это планшеты с торговой программой. Они по внешнему IP и по порту скидывают данные на сервер. Сейчас сервер переезжает в филиал и что-бы не перенастраивать всех мобильных агентов, надо как-то сохранить проброс по старым настройкам (ну кроме конечного IP сервера)
-
Настроить на конечном сервере новый адрес.
Используете адресацию того филиала в который переехал.
Порт форвард поправить на новый адрес сервера.
все. -
Доброе.
Т.е. вы изнутри лок. сети подкл. по внешнему адресу сервера, к-ый физически расположен в этой же локальной сети ? Это nat loopback получается.Вы по имени сервера или по его ip подкл ?
-
Настроить на конечном сервере новый адрес.
Используете адресацию того филиала в который переехал.
Порт форвард поправить на новый адрес сервера.
все.Так и сделал с самого начала. Только у в новом месте у сервера новый шлюз, пакеты-то туда нормально приходят, а вот обратно через свой шлюз улетают и связи нет получается
-
Доброе.
Т.е. вы изнутри лок. сети подкл. по внешнему адресу сервера, к-ый физически расположен в этой же локальной сети ? Это nat loopback получается.Вы по имени сервера или по его ip подкл ?
Из внешней сети. По 3G работают. Из локалки все отлично
-
В общем, я настроил правило на сервере Pf1 для NAT OutBound на интерфейс OpenVPN и Destination удаленная подсеть (192.168.10.0). Пока полет нормальный. Будем мониторить
-
Т.е. вы впн-интерфейс объявили явно ?
-
