Доступ с WAN в LAN в обход NAT
-
@Konstanti said in Доступ с WAN в LAN в обход NAT:
@Zholerlan
Вот что я вижу- Интерфейс LAN ( нужен еще и интерфейс WAN для полноты картины )
- Пакеты SYN от хоста 10.10.11.182 к хосту 192.168.100.57 идут
- Хост 192.168.100.57 отвечает 10.10.11.182 (SYN,ACK)
На этом все заканчивается
Что надо сделать
tcpdump на WAN интерфейсе нужно увидеть
Надо понять , уходят ли пакеты в сторону 10.10.11.182. Если да , то в каком виде
запустите tcpdump так
tcpdump -netti bge0 tcp and port 3389
И все станет понятно , что и как просиходит ( и происходит ли ) на WAN интерфейсе
на WAN пусто ничего нет.
tcpdump -netti bge0 tcp and port 3389
Пусто ничего не происходит.
-
@Zholerlan
Такого не может быть
Должны быть видны входящие пакеты от 10.10.11.182
Или они через OpenVPN к Вам попадают ???? -
@Konstanti said in Доступ с WAN в LAN в обход NAT:
@Zholerlan
Такого не может быть
Должны быть видны входящие пакеты от 10.10.11.182
Или они через OpenVPN к Вам попадают ????нет OpenVPN к этой движухе не имеет никакого отношения. Надо спросить у сетевиков как вообще у них все происходит может они к LAN все подцепили...Странно.
а прозрачный прокси можеть мешать прохождению пакетов? -
@Zholerlan возможно есть еще 1 гейт ? тогда это объясняет , почему на лан интерфейсе видна только часть пакетов
-
В данный момент пинг к компьютерам в сетке 192.168.100.0/24 из 10.10.0.0/32 имеется и имелась до этого. может быть проблемы все таки связаны с NAT???
Кстати проверил логи
-
@Zholerlan
Любопытно
Если нажать на крестик ,то он покажет правило , которое срабатывает
Покажите его пожи из консоли вывод команды
pfctl -sr -
@Konstanti said in Доступ с WAN в LAN в обход NAT:
@Zholerlan
Любопытно
Если нажать на крестик ,то он покажет правило , которое срабатывает
Покажите его пожи из консоли вывод команды
pfctl -sr
У меня такого правила нет вообще в правилах с таким названием -
@Zholerlan
вывод команды
pfctl -sr
Покажите пож
Желательно в виде текста , а не картинки -
Все сразу скинуть не могу сайт NETGATE блочит, думает что я спамлю. Кидаю кусками
Но походу я уже вижу Default deny rule IPv4 там снизу.scrub on bge0 all fragment reassemble
scrub on bge1 all fragment reassemble
anchor "relayd/" all
anchor "openvpn/" all
anchor "ipsec/*" all
block drop in log quick inet from 169.----.0/16 to any label "Block IPv4 link-local"
block drop in log quick inet from any to 169.-----.0/16 label "Block IPv4 link-local"
block drop in log inet all label "Default deny rule IPv4"
block drop out log inet all label "Default deny rule IPv4"
block drop in log inet6 all label "Default deny rule IPv6"
block drop out log inet6 all label "Default deny rule IPv6"
pass quick inet6 proto ipv6-icmp all icmp6-type unreach keep state
pass quick inet6 proto ipv6-icmp all icmp6-type toobig keep state
pass quick inet6 proto ipv6-icmp all icmp6-type neighbrsol keep state
pass quick inet6 proto ipv6-icmp all icmp6-type neighbradv keep state -
@Zholerlan киньте мне на почту
адрес есть в профиле
а -
Текстовый документ скинул на Google docs
-
@Zholerlan До конца не понимаю , почему так происходит
Попробуйте в правиле (это интерфейс wan)pass in quick on bge0 reply-to (bge0 217.-----.129) inet proto tcp from 10.10.0.0/20 to 192.168.100.0/24 flags S/SA keep state label "USER_RULE"
сделать так
тоже самое сделать в правиле (интерфейс lan)
pass in quick on bge1 inet proto tcp from 192.168.100.0/24 to 10.10.0.0/20 flags S/SA keep state label "USER_RULE: Easy Rule: Passed from Firewall Log View"
Я просто не понимаю , откуда в Вашей сети появляются пакеты от хоста 10.10.X.X. - и получается так , что входящий пакет не заносится в таблицу состояний .
Как следствие , ответный пакет попадает под блок -
Сетевики пока трубку не берут, выходные. Там я галочки пробовал ставить Any Flags, видел где то в форумах. Сейчас еще раз попробовал не работает все равно блокируется трафик.
-
@Zholerlan
Ну и каша в правилах fw что на ВАН, что на ЛАН (
Мой вам совет - на время теста оставьте по одному разрешающему все всем по всем протоколам правилу и на ВАН и на ЛАН. Иначе сами не поймете. -
Кароче решил проблему, помог совет коллеги. Создал правило Floating указал там WAN и LAN, добавил галочку в TCP Flags. Отключил все правила в LAN Rules. Оставил правила в WAN rules и все заработало. Если кому нибудь нужно потом могу скрины настроек скинуть. Спасибо всем за все !
-
Так проблема оказалось немного сложнее чем я думал. Но в целом все решено надо было указать в том в floating правиле также state type none ,TCP Flags ANY и обязательно тип TCP или UDP. Тогда все работает. Если его нет то подключение RDP разрывается в течении 10 секунд. Это баг pfsense #1841 cудя по всему. Решение найдено также на этом форуме.