Обратный NAT
-
всем доброго времени суток! подскажите плиз с NATом/ Задача, есть удаленный сервак pfsense с OPENVPN(LAN:192.168.111.1), нему коннектятся клиенты, сеть управления remote access (192.168.50.0/24), плюс site to site клиенты так же pfsense(например 10.56.0.96/27). удаленные клиенты s-t-s получают интернет с wan порта по dhcp от sim-модемов(всегда 192.168.1.1) с крыши по обычной utp. задача. был сделан проброс портов на шлюзе pfsense 10.56.0.97 порт 8080 редирект на 192.168.1.1 порт 80, на выходе получаю, interface-VPN-tcp-192.168.50.2:10950 -> 192.168.1.1:80 (10.56.0.97:8080)-CLOSED:SYN_SENT... во всех офицальных иструкциях пишут про обратный NAT, что я только с ним не делал но до стучаться до той железки которая сенсу 10.56.0.97 инет раздает так и не смог... кудой копать?! всем заранее спасибо
-
This post is deleted! -
задача. был сделан проброс портов на шлюзе pfsense 10.56.0.97 порт 8080 редирект на 192.168.1.1 порт 80
Может просто маршрутов не хватает удаленным клиентам? И никакой проброс не нужен.
-
Я тоже самое предполагаю , что где-то не хватает информации о маршруте , но сколько раз этот текст не перечитывал , до конца не понял , что и как настроено (картинка меня тоже немного сбивает с толку )
У меня для таких случаев совет один - tcpdump из консоли в различных ключевых точках для анализа прохождения трафика и поиска проблемного места
-
@pupsoid said in Обратный NAT:
Вебку пф-а перевесьте со стандарных 80\443 на 8080\8443Зы. Схема жуткая ( Откуда 172.16.x.x взялось?
-
-
задача актуальна, достучаться любым способом с 192.168.50.2 до 192.168.1.1
-
@pupsoid
Здр
по идее проблем быть не должно при верно настроенной статической маршрутизации -
У ви-фи роутера есть ЛАН 10,56,х,х Зачем вам на его ВАН заходить? ВАН может быть вообще закрыт.
Пушьте роут до 10,56,х,х для 192,168,50,2 и пользуйте. -
@werter всё остальное что вы написали работает, надо зайти не на WAN, а на шлюз WANa. Для удаленной настройки модема.
-
@pupsoid
Пушьте роут. -
@werter подробнее?куда?кому?
-
Для начала
172,250,хх,хx НЕЛЬЗЯ пользовать для адресации в впн-сети.
Это РЕАЛЬНЫЕ адреса. Выбирайте из 172.16.0.0/12. Сменить надо.Далее. Пушьте роут туда, куда клиентам надо получить доступ.
И пушить надо с ОБЕИХ сторон в Вашем случае.
В вашем случае овпн-клиентам пушить роут до 192,168,1,1
А железке с антенкой добавить роут до 192,168,50,хНо есть нюанс. Скорее всего найдется клиент, у к-го локальная адресация ТОЖЕ 192,168,1,х
Песня про то, что НЕЛЬЗЯ пользовать 192,168,0|1,х НА РАБОТЕ на этом форуме поется в каждом 5-м посте (( Но мыши кушают и кушают кактус.
-
@werter там опечатка по факту 172.16.250.XXX, до железки с антенкой сначала достучаться надо чтобы маршрут ей сказать(((
-
@werter нет никаких клиентов и никаких адресаций нет и не будет, на микротике правило проброса работает на ура в одну строчку без всяких маршрутов, почему pf так ведет себя вот в чем вопрос
-
Вы пытаетесь попасть с впн-клиента 192,168,50,х на 192,168.1.1?
Для этого надо:- самом пф иметь маршрут до 192,168,1,1
- выдавать по овпн железке с антенной маршрут до 192,168,50,х
- выдавать впн-клиентам маршрут до 192,168,1,1
