Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Доступ с WAN в LAN в обход NAT

    Scheduled Pinned Locked Moved Russian
    26 Posts 3 Posters 2.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Z
      Zholerlan @Konstanti
      last edited by

      @Konstanti said in Доступ с WAN в LAN в обход NAT:

      @Zholerlan
      Немного не то выложили
      Мне нужно посмотреть на все правила , которые настроены на интерфейсе WAN и LAN (общая картинка)
      Firewall/Rules/WAN
      Firewall/Rules/LAN
      и таблица маршрутизации нужна PFSense

      Таблица маршрутизации
      все что закрашено цифры одинаковые

      Wan rules
      Lan rules

      K 1 Reply Last reply Reply Quote 0
      • K
        Konstanti @Zholerlan
        last edited by

        @Zholerlan
        Доброе утро
        Floating Rules отключены/удалены ????
        По картинке Wan rules видно, что правило 1 не работает
        Имейте в виду , что при таких настройках пинги не должны ходить

        Правило 2 не нужно (WAN Rules)

        Включайте Packet Capture (tcpdump) на WAN и LAN интерфейсах , и смотрите ( покажите) , что происходит в момент установления соединения 10.10.0.0/20-> 192.168.100.0\24

        Z 1 Reply Last reply Reply Quote 1
        • Z
          Zholerlan @Konstanti
          last edited by Zholerlan

          @Konstanti said in Доступ с WAN в LAN в обход NAT:

          @Zholerlan
          Доброе утро
          Floating Rules отключены/удалены ????
          По картинке Wan rules видно, что правило 1 не работает
          Имейте в виду , что при таких настройках пинги не должны ходить

          Правило 2 не нужно (WAN Rules)

          Включайте Packet Capture (tcpdump) на WAN и LAN интерфейсах , и смотрите ( покажите) , что происходит в момент установления соединения 10.10.0.0/20-> 192.168.100.0\24

          Доброго дня
          Floating Rules отключены
          Правило 2 в WAN отключил
          Скриншот Tcpdump при попытке зайти по удаленному рабочему столу с 10.10.11.182 в 192.168.100.*
          Tcpdump

          K 1 Reply Last reply Reply Quote 0
          • K
            Konstanti @Zholerlan
            last edited by Konstanti

            @Zholerlan
            Вот что я вижу

            1. Интерфейс LAN ( нужен еще и интерфейс WAN для полноты картины )
            2. Пакеты SYN от хоста 10.10.11.182 к хосту 192.168.100.57 идут
            3. Хост 192.168.100.57 отвечает 10.10.11.182 (SYN,ACK)
              На этом все заканчивается
              Что надо сделать
              tcpdump на WAN интерфейсе нужно увидеть
              Надо понять , уходят ли пакеты в сторону 10.10.11.182. Если да , то в каком виде
              запустите tcpdump так
              tcpdump -netti bge0 tcp and port 3389
              И все станет понятно , что и как просиходит ( и происходит ли ) на WAN интерфейсе
            Z 1 Reply Last reply Reply Quote 1
            • Z
              Zholerlan @Konstanti
              last edited by

              @Konstanti said in Доступ с WAN в LAN в обход NAT:

              @Zholerlan
              Вот что я вижу

              1. Интерфейс LAN ( нужен еще и интерфейс WAN для полноты картины )
              2. Пакеты SYN от хоста 10.10.11.182 к хосту 192.168.100.57 идут
              3. Хост 192.168.100.57 отвечает 10.10.11.182 (SYN,ACK)
                На этом все заканчивается
                Что надо сделать
                tcpdump на WAN интерфейсе нужно увидеть
                Надо понять , уходят ли пакеты в сторону 10.10.11.182. Если да , то в каком виде
                запустите tcpdump так
                tcpdump -netti bge0 tcp and port 3389
                И все станет понятно , что и как просиходит ( и происходит ли ) на WAN интерфейсе

              на WAN пусто ничего нет.

              tcpdump -netti bge0 tcp and port 3389

              Пусто ничего не происходит.

              K 1 Reply Last reply Reply Quote 0
              • K
                Konstanti @Zholerlan
                last edited by

                @Zholerlan
                Такого не может быть
                Должны быть видны входящие пакеты от 10.10.11.182
                Или они через OpenVPN к Вам попадают ????

                Z 1 Reply Last reply Reply Quote 1
                • Z
                  Zholerlan @Konstanti
                  last edited by Zholerlan

                  @Konstanti said in Доступ с WAN в LAN в обход NAT:

                  @Zholerlan
                  Такого не может быть
                  Должны быть видны входящие пакеты от 10.10.11.182
                  Или они через OpenVPN к Вам попадают ????

                  нет OpenVPN к этой движухе не имеет никакого отношения. Надо спросить у сетевиков как вообще у них все происходит может они к LAN все подцепили...Странно.
                  а прозрачный прокси можеть мешать прохождению пакетов?

                  K 1 Reply Last reply Reply Quote 0
                  • K
                    Konstanti @Zholerlan
                    last edited by

                    @Zholerlan возможно есть еще 1 гейт ? тогда это объясняет , почему на лан интерфейсе видна только часть пакетов

                    1 Reply Last reply Reply Quote 0
                    • Z
                      Zholerlan
                      last edited by Zholerlan

                      В данный момент пинг к компьютерам в сетке 192.168.100.0/24 из 10.10.0.0/32 имеется и имелась до этого. может быть проблемы все таки связаны с NAT???

                      Кстати проверил логи
                      Firewall block

                      K 1 Reply Last reply Reply Quote 0
                      • K
                        Konstanti @Zholerlan
                        last edited by Konstanti

                        @Zholerlan
                        Любопытно
                        Если нажать на крестик ,то он покажет правило , которое срабатывает
                        Покажите его пож

                        и из консоли вывод команды
                        pfctl -sr

                        Z 1 Reply Last reply Reply Quote 1
                        • Z
                          Zholerlan @Konstanti
                          last edited by Zholerlan

                          @Konstanti said in Доступ с WAN в LAN в обход NAT:

                          @Zholerlan
                          Любопытно
                          Если нажать на крестик ,то он покажет правило , которое срабатывает
                          Покажите его пож

                          и из консоли вывод команды
                          pfctl -sr

                          Блокировка
                          У меня такого правила нет вообще в правилах с таким названием

                          K 1 Reply Last reply Reply Quote 0
                          • K
                            Konstanti @Zholerlan
                            last edited by

                            @Zholerlan
                            вывод команды
                            pfctl -sr
                            Покажите пож
                            Желательно в виде текста , а не картинки

                            1 Reply Last reply Reply Quote 1
                            • Z
                              Zholerlan
                              last edited by Zholerlan

                              Все сразу скинуть не могу сайт NETGATE блочит, думает что я спамлю. Кидаю кусками
                              Но походу я уже вижу Default deny rule IPv4 там снизу.

                              scrub on bge0 all fragment reassemble
                              scrub on bge1 all fragment reassemble
                              anchor "relayd/" all
                              anchor "openvpn/
                              " all
                              anchor "ipsec/*" all
                              block drop in log quick inet from 169.----.0/16 to any label "Block IPv4 link-local"
                              block drop in log quick inet from any to 169.-----.0/16 label "Block IPv4 link-local"
                              block drop in log inet all label "Default deny rule IPv4"
                              block drop out log inet all label "Default deny rule IPv4"
                              block drop in log inet6 all label "Default deny rule IPv6"
                              block drop out log inet6 all label "Default deny rule IPv6"
                              pass quick inet6 proto ipv6-icmp all icmp6-type unreach keep state
                              pass quick inet6 proto ipv6-icmp all icmp6-type toobig keep state
                              pass quick inet6 proto ipv6-icmp all icmp6-type neighbrsol keep state
                              pass quick inet6 proto ipv6-icmp all icmp6-type neighbradv keep state

                              K 1 Reply Last reply Reply Quote 0
                              • K
                                Konstanti @Zholerlan
                                last edited by

                                @Zholerlan киньте мне на почту
                                адрес есть в профиле
                                а

                                1 Reply Last reply Reply Quote 1
                                • Z
                                  Zholerlan
                                  last edited by

                                  Текстовый документ скинул на Google docs

                                  K 1 Reply Last reply Reply Quote 0
                                  • K
                                    Konstanti @Zholerlan
                                    last edited by Konstanti

                                    @Zholerlan До конца не понимаю , почему так происходит
                                    Попробуйте в правиле (это интерфейс wan)

                                    pass in quick on bge0 reply-to (bge0 217.-----.129) inet proto tcp from 10.10.0.0/20 to 192.168.100.0/24 flags S/SA keep state label "USER_RULE"

                                    сделать так
                                    a855a529-616f-4e82-8c45-65df84d0e7d7-image.png

                                    тоже самое сделать в правиле (интерфейс lan)

                                    pass in quick on bge1 inet proto tcp from 192.168.100.0/24 to 10.10.0.0/20 flags S/SA keep state label "USER_RULE: Easy Rule: Passed from Firewall Log View"

                                    d481f78c-235c-4aab-90cb-dde3657b2eb2-image.png

                                    Я просто не понимаю , откуда в Вашей сети появляются пакеты от хоста 10.10.X.X. - и получается так , что входящий пакет не заносится в таблицу состояний .
                                    Как следствие , ответный пакет попадает под блок

                                    1 Reply Last reply Reply Quote 0
                                    • Z
                                      Zholerlan
                                      last edited by

                                      Сетевики пока трубку не берут, выходные. Там я галочки пробовал ставить Any Flags, видел где то в форумах. Сейчас еще раз попробовал не работает все равно блокируется трафик.

                                      1 Reply Last reply Reply Quote 0
                                      • werterW
                                        werter
                                        last edited by

                                        @Zholerlan
                                        Ну и каша в правилах fw что на ВАН, что на ЛАН (
                                        Мой вам совет - на время теста оставьте по одному разрешающему все всем по всем протоколам правилу и на ВАН и на ЛАН. Иначе сами не поймете.

                                        1 Reply Last reply Reply Quote 0
                                        • Z
                                          Zholerlan
                                          last edited by Zholerlan

                                          Кароче решил проблему, помог совет коллеги. Создал правило Floating указал там WAN и LAN, добавил галочку в TCP Flags. Отключил все правила в LAN Rules. Оставил правила в WAN rules и все заработало. Если кому нибудь нужно потом могу скрины настроек скинуть. Спасибо всем за все !

                                          1 Reply Last reply Reply Quote 0
                                          • Z
                                            Zholerlan
                                            last edited by Zholerlan

                                            Так проблема оказалось немного сложнее чем я думал. Но в целом все решено надо было указать в том в floating правиле также state type none ,TCP Flags ANY и обязательно тип TCP или UDP. Тогда все работает. Если его нет то подключение RDP разрывается в течении 10 секунд. Это баг pfsense #1841 cудя по всему. Решение найдено также на этом форуме.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.