Проброс портов
-
Глубоко уважаемые, моё почтение !
PfSense 2.3.4-RELEASE (amd64)
WAN 1000baseT <full-duplex>x.x.x.x DHCP
LAN 100baseTX <full-duplex>y.y.y.y STATICВнутри локальной сЕти есть две ASUSовские точки с WEB-лицами на 80 порте.
y.y.y.3:80 и y.y.y.4:80В итоге ОЧЕНЬ хотелось бы получить, чтобы при запросе на x.x.x.x:11111 пакеты уходили внутрь на y.y.y.3:80, а
при запросе на x.x.x.x:22222 пакеты уходили внутрь на y.y.y.4:80Маны курил. В гугле не забанен.
Уже столько всяческого перепилил, что мозг плавится. Не выходит каменный цветок. Плак-плак.
Всю необходимую инфу готов предоставить.
Прошу: пожалуйста, помогите разобраться, кого куда.Решение.</full-duplex></full-duplex>
-
Специально создал правило port forward
WAN TCP * * * 1111 192.168.1.120 80 (HTTP)
Работает.
1. x.x.x.x - "белый" IP?
2. На y.y.y.3: и y.y.y.4 указан в настройках LAN шлюзом IP pfsense? -
1. Да, белый.
2. Ни шлюза, ни DNSа ни на одной из точек нет. Витая пара приходит в LAN порт и первой точке, и второй. Не в WAN.Зашёл на точку. Пустил пакеты в 8.8.8.8
Соответственно, результат нулевой. 100процентные потери.Теперь понятно, в чём дело.
Прошу, пожалуйста, помочь. Как быть ?
-
У точек доступа нет для LAN настроек шлюза?
Нет ли настройки, явно переводящей роутеры (наличие WAN говорит о том, что это роутеры) в режим AP?
Не появится ли возможность задания шлюза, если такая настройка есть?
1. Искать альтернативные прошивки с возможностью задания шлюза. Для Asus они должны быть.
2. Менять точки доступа.
3. Заходить на них через RDP. -
Если точки могут пинговать ваш pfSense тогда просто добавте правило NAT в сторону этих точек на LAN интерфейсе.
-
@The:
Прошу, пожалуйста, помочь. Как быть ?
1. В некоторых прошивках возможность указания шлюза открывается если выставить тип wan в none.
2. Самый простой способ решить вопрос, если не помог первый вариант, в вашем случае – это дополнительно подключить wan роутера в сеть y.y.y.0/m и управлять через него. -
1. У точек доступа нет для LAN настроек шлюза?
Верно. Для LAN настроек шлюза нет.2. Нет ли настройки, явно переводящей роутеры (наличие WAN говорит о том, что это роутеры) в режим AP?
Такая настройка есть. Но явный перевод роутера в режим AP сопряжён со сложностями по времени и по расстоянию.3. Искать альтернативные прошивки с возможностью задания шлюза. Для Asus они должны быть.
Да. Они есть. Точки разные. Но есть и для первой и для второй.
В своё время зашивал ASUSовскую точку DD-WRTшной прошей и сеть 5 Ghz безвозвратно уходила в небытие. Гаданием на кофейной гуще заниматься не хотелось бы, но неприятный опыт есть.4. Менять точки доступа.
Вариант не рассматривается, потому что УЖЕ поменяли.5. Заходить на них через RDP.
Сейчас примерно так и происходит. Суть в том, чтобы отказаться от этой схемы.6. Скорее всего так и должно быть,потому Вы используете ASUSовские точки в качестве простого Свича.
Совершенно верно.7. Если точки могут пинговать ваш pfSense тогда просто добавте правило NAT в сторону этих точек на LAN интерфейсе.
Да, могут. Пакеты уходят на PfSense и с первой и со второй точки.Корректно ли я понимаю, что Вы имеете ввиду в Firewall / NAT / Port Forward: WAN -> TCP -> x.x.x.x -> * -> WAN address -> 11111 -> y.y.y.3 -> 80 (HTTP) ?
При этом в Frewall / Rules / WAN создаётся разрешающее правило: IPv4 TCP -> внешний_IP,_с_которого_подключаюсь -> * -> y.y.y.3 -> 80 (HTTP) -> * -> none -> NATВ этом случае не работает.
Где-то чего-то не хватает (?)8. В некоторых прошивках возможность указания шлюза открывается если выставить тип wan в none.
В этих точках при родных прошах крайних версий такой возможности нет, потому что WAN не поддерживает тип NONE.9. Самый простой способ решить вопрос, если не помог первый вариант, в вашем случае – это дополнительно подключить wan роутера в сеть y.y.y.0/m и управлять через него.
Сложности со временем / расстоянием.Коллеги, существует ли возможность допилить эту схему удалённо ? Поделитесь, пожалуйста, соображениями ?
-
1. В faq есть пункт настройка мапинга если pfsense не явлается шлюзом по умолчанию.
Или 2. Пробрасывать порт в туннеле ssh.
Или что-н ещё. -
Тоже имею одну AP без возможности указания шлюза.
Доступ к ней появляется по внутреннему IP, если в сети поднять PPTP(RRAS) на любой (Windows) машине внутри сети, а на pfSense пробросить TCP 1723 и GRE на эту машину.
Скорее всего будет работать и с L2TP\SSTP, PPTP просто исторически уже есть, хотя и не используется. -