Проброс порта из LAN в WAN

silh

@Konstanti
прямой доступ машины через циску тоже есть
90 permit ip host 192.168.0.149 any

Может быть обратный пакет заворачивается сразу на локальную машину через шлюз 192.168.0.1?

Но опять же, есть Usergate в сети. У него тоже внешний IP в подсети 192.168.1.0, внутренний в 192.168.0.0 (на схеме можно поставить его просто вместо pf) - через него то NAT работает.

Konstanti

@silh
Покажите таблицу маршрутизации Cisco
и правила NAT Outbound PFsense
Судя по схеме , которую Вы нарисовали , у Вас ассиметричная маршрутизация

silh

@Konstanti
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
C 192.168.240.0/24 is directly connected, Vlan3
172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
S 172.16.13.16/30 [1/0] via 172.16.13.21
C 172.16.13.20/30 is directly connected, FastEthernet1
C 172.16.13.0/28 is directly connected, FastEthernet1
S 192.168.4.0/24 [1/0] via 172.16.13.4
xxx.xxx.0.0/32 is subnetted, 1 subnets
C xxx.xxx.xxx.xxx is directly connected, Dialer1
92.0.0.0/32 is subnetted, 1 subnets
C xxx.xx.xx.xx is directly connected, Dialer1
S 192.168.5.0/24 [1/0] via 172.16.13.5
10.0.0.0/24 is subnetted, 1 subnets
C 10.10.10.0 is directly connected, Loopback99
S 192.168.6.0/24 [1/0] via 172.16.13.6
S 192.168.7.0/24 [1/0] via 172.16.13.7
C 192.168.0.0/24 is directly connected, Vlan1
C 192.168.1.0/24 is directly connected, Vlan2
S 192.168.3.0/24 [1/0] via 172.16.13.3
S* 0.0.0.0/0 is directly connected, Dialer1

Правил Outbound на pf нет

Konstanti

@silh
Вы сами ответили на все вопросы
1 C 192.168.0.0/24 is directly connected, Vlan1
2 Cisco пытается напрямую отправить пакет хосту - результат , ассиметричная маршрутизация
3 создайте правило Исходящего нат на интерфейсе WAN PF для хоста 149 , и будет Вам счастье

silh

@Konstanti
Какого вида должно быть правило? Поможет ли оно, если обратные пакеты до этого WAN PF даже не доходят?

Konstanti

@silh
Причину, почему пакеты не доходят, я Вам указал выше

silh

@Konstanti
Заработало!
Объясните, если не сложно, в чём суть правила Outbound?

werter

Добрый.
@silh

Схема вашей сети просто "шикарна"(

У вас только один ПК и к циске и к пф подключен одновременно? Или такие же чудеса со всей ЛАН?
Вы уж определитесь КАК должна работать вверенная вам сеть.

Зы. Вам бы подошел вариант, когда все ppp-линки поднимает пф , а циска отвечает только за ВЛАНы (т.е. работает как Л2-свитч).

silh

@werter
Никаких чудес нет.
Пф был запущен на недавно и играет роль только прокси сервера со статистикой, в полутестовом режиме, так сказать.
Как пойдет дальше, покажет время. Спасибо за рекомендации.

werter

linkmeup.gitbook.io/sdsm/
Пользую сам и всем причастным рекомендую.