Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Пробросc порта через 2 Pfsense.

    Scheduled Pinned Locked Moved Russian
    20 Posts 4 Posters 2.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Konstanti @JonnyDy
      last edited by Konstanti

      @jonnydy Здр
      Policy Based Routing тут нужен
      Создаете шлюз 172.16.0.2 на pf1
      и потом правило на lan pf1, согласно которому все пакеты 3389 от 0.15 летят на вышеуказанный шлюз ( без NAT)
      а на pf2 уже пакеты от 192.168.0.0 попадают на wan (не совсем понятно из схемы , что должно происходит с пакетом на wan pf2 дальше)
      и еще, pf 2 должен знать про 192.168.0.0

      J 1 Reply Last reply Reply Quote 0
      • J
        JonnyDy @Konstanti
        last edited by

        @konstanti Не подходит, они не только туда летят. Через другой маршрут доступ из локальных сетей. Я правильно понял для 2.4.4 необходимо в Rule Advance Gateway изменить шлюх по умолчанию?

        K 1 Reply Last reply Reply Quote 0
        • K
          Konstanti @JonnyDy
          last edited by Konstanti

          @jonnydy так вы же не только по порту можете маршрутизировать, но и по источнику, назначению, протоколу. Т е создать гибкие правила маршрутизации. Вы написали схему, я по ней ориентировался. Если в чем - то сомневаетесь нужна схема сети, и чтобы было чёткое понимание, что Вы хотите реализовать. По поводу изменить шлюз, да, все верно. Схема желательна с картинками и адресацией

          J 1 Reply Last reply Reply Quote 0
          • J
            JonnyDy @Konstanti
            last edited by

            @konstanti Источник\назначение предсказать невозможно, доступ из вне. Протокол везде один TCP. Другие интерфейсы не указывал, там конфигурация LAN-to-LAN. Попытаюсь тогда для этих подсетей правила руками прописать с их шлюзом, затем для проброса.

            K 1 Reply Last reply Reply Quote 0
            • K
              Konstanti @JonnyDy
              last edited by

              @jonnydy Т е Вам нужно от WAN pf2 прокинуть порт 3389 к 192.168.0.15 lan pf1 ???

              J 1 Reply Last reply Reply Quote 0
              • J
                JonnyDy @Konstanti
                last edited by

                @konstanti Да.

                K 1 Reply Last reply Reply Quote 0
                • K
                  Konstanti @JonnyDy
                  last edited by

                  @jonnydy Port forwarding на pf2 пробовали сразу на 192.168.0.15?

                  J 1 Reply Last reply Reply Quote 0
                  • J
                    JonnyDy @Konstanti
                    last edited by

                    @konstanti Да, 192.168.0.15 видит обращение с внешнего ip и отвечает на него, по прямому доступу в интернет. Возможно маркировать пакеты для их отправки к нужному промежуточному узлу?

                    K R 2 Replies Last reply Reply Quote 0
                    • K
                      Konstanti @JonnyDy
                      last edited by Konstanti

                      @jonnydy Вот для этого и нужна схема сети .
                      К 192.168.0.15 могут приходить 3389 от wan pf1 ?
                      от каких еще сетей могут быть обращения по 3389 к 0.15 ?
                      Можно ли настроить 0.15 на прием пакетов на порт , отличный от 3389 ?

                      J 1 Reply Last reply Reply Quote 0
                      • J
                        JonnyDy @Konstanti
                        last edited by

                        @konstanti Да, могут. Обращения могут быть от любых сетей. Но на an pf1 порт не подбрасывался, менять порт пробовал, не помогло.

                        K 1 Reply Last reply Reply Quote 0
                        • K
                          Konstanti @JonnyDy
                          last edited by Konstanti

                          @jonnydy said in Пробросc порта через 2 Pfsense.:

                          о

                          Попробуйте поиграться так , каждому правилу на проброс создается соответсвующее правило на интерфейсе wan . Вот в этом правиле можно пакет пометить. А когда пакет пойдет обратно на правиле lan pf1 можно эту метку проверять . И если метка совпадает , то ответ отправить на wan pf2/

                          0_1543839808751_d2914cc3-f24e-423c-a268-1ad6fadee402-image.png
                          Или мб сделать двойной проброс? Wan pf2 opt1 pf1. И второй проброс с орт1 на 0.15?

                          P.s. Много читал , долго думал )) . идея с метками , скорее всего , не сработает . Дурацкая затея. Срок жизни метки ограничивается , похоже, сроком нахождения пакета в маршрутизаторе.
                          Я бы пробовал двойной проброс.

                          1 Reply Last reply Reply Quote 0
                          • R
                            rubic @JonnyDy
                            last edited by

                            @jonnydy
                            на pfsense2 сделайте правилоNAT Outbound:
                            interface: LAN
                            destination: 192.168.0.15
                            dst port: 3389
                            тогда 192.168.0.15 будет думать, что к нему подключаются с 172.16.0.2 и не слать ответы куда попало

                            J 1 Reply Last reply Reply Quote 1
                            • J
                              JonnyDy @rubic
                              last edited by

                              @rubic Спасибо, а destination: 192.168.0.15 точно должно быть, а не 172.16.0.5 ?

                              R K 2 Replies Last reply Reply Quote 0
                              • R
                                rubic @JonnyDy
                                last edited by

                                @JonnyDy
                                Если "Да, 192.168.0.15 видит обращение с внешнего ip и отвечает на него", то да, 192.168.0.15, больше ничего не нужно

                                1 Reply Last reply Reply Quote 0
                                • K
                                  Konstanti @JonnyDy
                                  last edited by Konstanti

                                  @jonnydy Добрый вечер
                                  Если проблема не решена , возможно пройдет такой вариант
                                  На 0.15 добавляете еще 1 ip адрес . Например , 0.16
                                  Т е у терминального сервера будет 2 ip
                                  Настраиваете , если надо , терминальный сервер , чтобы он принимал соединения с 0.16 тоже
                                  Тогда можно сделать проброс 3389 с wan pf2 на 0.16

                                  Как бы я попробовал поэксперементировать
                                  Шлюз по умолчанию для 0.16 я бы сделал lan pf2 - тогда все пакеты от 0.16 (кроме 192.168.0.0) уходили бы через lan pf2
                                  Или у 0.16 сделать шлюз по умолчанию lan pf 1 .Тогда на lan интерфейсе pf1 сделать правило , что все пакеты от 0.16 с портом источника 3389 уходят на lan pf2.
                                  Как-то так

                                  1 Reply Last reply Reply Quote 0
                                  • J
                                    JonnyDy
                                    last edited by

                                    Спасибо могла настройка ручного правила NAT.

                                    1 Reply Last reply Reply Quote 0
                                    • werterW
                                      werter
                                      last edited by werter

                                      Добрый.
                                      @JonnyDy

                                      Вариант с Openvpn на pfsense2 не рассматривали? Один порт для всего.

                                      Зы. И отдельно развернуть в локальной сети https://guacamole.apache.org/ Будет использоваться как единая точка входа в корп. сеть.

                                      https://www.cb-net.co.uk/linux/debian-8-6-proxy-guacamole-via-nginx-using-https-and-fail2ban/

                                      1 Reply Last reply Reply Quote 0
                                      • First post
                                        Last post
                                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.