Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Пробросc порта через 2 Pfsense.

    Scheduled Pinned Locked Moved Russian
    20 Posts 4 Posters 2.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Konstanti @JonnyDy
      last edited by

      @jonnydy Port forwarding на pf2 пробовали сразу на 192.168.0.15?

      J 1 Reply Last reply Reply Quote 0
      • J
        JonnyDy @Konstanti
        last edited by

        @konstanti Да, 192.168.0.15 видит обращение с внешнего ip и отвечает на него, по прямому доступу в интернет. Возможно маркировать пакеты для их отправки к нужному промежуточному узлу?

        K R 2 Replies Last reply Reply Quote 0
        • K
          Konstanti @JonnyDy
          last edited by Konstanti

          @jonnydy Вот для этого и нужна схема сети .
          К 192.168.0.15 могут приходить 3389 от wan pf1 ?
          от каких еще сетей могут быть обращения по 3389 к 0.15 ?
          Можно ли настроить 0.15 на прием пакетов на порт , отличный от 3389 ?

          J 1 Reply Last reply Reply Quote 0
          • J
            JonnyDy @Konstanti
            last edited by

            @konstanti Да, могут. Обращения могут быть от любых сетей. Но на an pf1 порт не подбрасывался, менять порт пробовал, не помогло.

            K 1 Reply Last reply Reply Quote 0
            • K
              Konstanti @JonnyDy
              last edited by Konstanti

              @jonnydy said in Пробросc порта через 2 Pfsense.:

              о

              Попробуйте поиграться так , каждому правилу на проброс создается соответсвующее правило на интерфейсе wan . Вот в этом правиле можно пакет пометить. А когда пакет пойдет обратно на правиле lan pf1 можно эту метку проверять . И если метка совпадает , то ответ отправить на wan pf2/

              0_1543839808751_d2914cc3-f24e-423c-a268-1ad6fadee402-image.png
              Или мб сделать двойной проброс? Wan pf2 opt1 pf1. И второй проброс с орт1 на 0.15?

              P.s. Много читал , долго думал )) . идея с метками , скорее всего , не сработает . Дурацкая затея. Срок жизни метки ограничивается , похоже, сроком нахождения пакета в маршрутизаторе.
              Я бы пробовал двойной проброс.

              1 Reply Last reply Reply Quote 0
              • R
                rubic @JonnyDy
                last edited by

                @jonnydy
                на pfsense2 сделайте правилоNAT Outbound:
                interface: LAN
                destination: 192.168.0.15
                dst port: 3389
                тогда 192.168.0.15 будет думать, что к нему подключаются с 172.16.0.2 и не слать ответы куда попало

                J 1 Reply Last reply Reply Quote 1
                • J
                  JonnyDy @rubic
                  last edited by

                  @rubic Спасибо, а destination: 192.168.0.15 точно должно быть, а не 172.16.0.5 ?

                  R K 2 Replies Last reply Reply Quote 0
                  • R
                    rubic @JonnyDy
                    last edited by

                    @JonnyDy
                    Если "Да, 192.168.0.15 видит обращение с внешнего ip и отвечает на него", то да, 192.168.0.15, больше ничего не нужно

                    1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @JonnyDy
                      last edited by Konstanti

                      @jonnydy Добрый вечер
                      Если проблема не решена , возможно пройдет такой вариант
                      На 0.15 добавляете еще 1 ip адрес . Например , 0.16
                      Т е у терминального сервера будет 2 ip
                      Настраиваете , если надо , терминальный сервер , чтобы он принимал соединения с 0.16 тоже
                      Тогда можно сделать проброс 3389 с wan pf2 на 0.16

                      Как бы я попробовал поэксперементировать
                      Шлюз по умолчанию для 0.16 я бы сделал lan pf2 - тогда все пакеты от 0.16 (кроме 192.168.0.0) уходили бы через lan pf2
                      Или у 0.16 сделать шлюз по умолчанию lan pf 1 .Тогда на lan интерфейсе pf1 сделать правило , что все пакеты от 0.16 с портом источника 3389 уходят на lan pf2.
                      Как-то так

                      1 Reply Last reply Reply Quote 0
                      • J
                        JonnyDy
                        last edited by

                        Спасибо могла настройка ручного правила NAT.

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by werter

                          Добрый.
                          @JonnyDy

                          Вариант с Openvpn на pfsense2 не рассматривали? Один порт для всего.

                          Зы. И отдельно развернуть в локальной сети https://guacamole.apache.org/ Будет использоваться как единая точка входа в корп. сеть.

                          https://www.cb-net.co.uk/linux/debian-8-6-proxy-guacamole-via-nginx-using-https-and-fail2ban/

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.