Проброс портов



  • Глубоко уважаемые, моё почтение !

    PfSense 2.3.4-RELEASE (amd64)
    WAN 1000baseT <full-duplex>x.x.x.x DHCP
    LAN  100baseTX <full-duplex>y.y.y.y STATIC

    Внутри локальной сЕти есть две ASUSовские точки с WEB-лицами на 80 порте.
    y.y.y.3:80 и y.y.y.4:80

    В итоге ОЧЕНЬ хотелось бы получить, чтобы при запросе на x.x.x.x:11111 пакеты уходили внутрь на y.y.y.3:80, а
    при запросе на x.x.x.x:22222 пакеты уходили внутрь на y.y.y.4:80

    Маны курил. В гугле не забанен.
    Уже столько всяческого перепилил, что мозг плавится. Не выходит каменный цветок. Плак-плак.
    Всю необходимую инфу готов предоставить.
    Прошу: пожалуйста, помогите разобраться, кого куда.

    Решение.</full-duplex></full-duplex>



  • Специально создал правило port forward
    WAN TCP * * * 1111 192.168.1.120 80 (HTTP)
    Работает.
    1. x.x.x.x - "белый" IP?
    2. На y.y.y.3: и y.y.y.4 указан в настройках LAN шлюзом IP pfsense?



  • 1. Да, белый.
    2. Ни шлюза, ни DNSа ни на одной из точек нет. Витая пара приходит в LAN порт и первой точке, и второй. Не в WAN.

    Зашёл на точку. Пустил пакеты в 8.8.8.8
    Соответственно, результат нулевой. 100процентные потери.

    Теперь понятно, в чём дело.

    Прошу, пожалуйста, помочь. Как быть ?



  • У точек доступа нет для LAN настроек шлюза?
    Нет ли настройки, явно переводящей роутеры (наличие WAN говорит о том, что это роутеры) в режим AP?
    Не появится ли возможность задания шлюза, если такая настройка есть?
    1. Искать альтернативные прошивки с возможностью задания шлюза. Для Asus они должны быть.
    2. Менять точки доступа.
    3. Заходить на них через RDP.



  • Если точки могут пинговать ваш pfSense тогда просто добавте правило NAT в сторону этих точек на LAN интерфейсе.



  • @The:

    Прошу, пожалуйста, помочь. Как быть ?

    1. В некоторых прошивках возможность указания шлюза открывается если выставить тип wan в none.
    2. Самый простой способ решить вопрос, если не помог первый вариант, в вашем случае – это дополнительно подключить wan роутера в сеть y.y.y.0/m и управлять через него.



  • 1. У точек доступа нет для LAN настроек шлюза?
    Верно. Для LAN настроек шлюза нет.

    2. Нет ли настройки, явно переводящей роутеры (наличие WAN говорит о том, что это роутеры) в режим AP?
    Такая настройка есть. Но явный перевод роутера в режим AP сопряжён со сложностями по времени и по расстоянию.

    3. Искать альтернативные прошивки с возможностью задания шлюза. Для Asus они должны быть.
    Да. Они есть. Точки разные. Но есть и для первой и для второй.
    В своё время зашивал ASUSовскую точку DD-WRTшной прошей и сеть 5 Ghz безвозвратно уходила в небытие. Гаданием на кофейной гуще заниматься не хотелось бы, но неприятный опыт есть.

    4. Менять точки доступа.
    Вариант не рассматривается, потому что УЖЕ поменяли.

    5. Заходить на них через RDP.
    Сейчас примерно так и происходит. Суть в том, чтобы отказаться от этой схемы.

    6. Скорее всего так и должно быть,потому Вы используете ASUSовские точки в качестве простого Свича.
    Совершенно верно.

    7. Если точки могут пинговать ваш pfSense тогда просто добавте правило NAT в сторону этих точек на LAN интерфейсе.
    Да, могут. Пакеты уходят на PfSense и с первой и со второй точки.

    Корректно ли я понимаю, что Вы имеете ввиду в Firewall / NAT / Port Forward: WAN -> TCP -> x.x.x.x -> * -> WAN address -> 11111 -> y.y.y.3 -> 80 (HTTP) ?
    При этом в Frewall / Rules / WAN создаётся разрешающее правило: IPv4 TCP -> внешний_IP,_с_которого_подключаюсь -> * -> y.y.y.3 -> 80 (HTTP) -> * -> none -> NAT

    В этом случае не работает.
    Где-то чего-то не хватает (?)

    8. В некоторых прошивках возможность указания шлюза открывается если выставить тип wan в none.
    В этих точках при родных прошах крайних версий такой возможности нет, потому что WAN не поддерживает тип NONE.

    9. Самый простой способ решить вопрос, если не помог первый вариант, в вашем случае – это дополнительно подключить wan роутера в сеть y.y.y.0/m и управлять через него.
    Сложности со временем / расстоянием.

    Коллеги, существует ли возможность допилить эту схему удалённо ? Поделитесь, пожалуйста, соображениями ?



  • 1. В faq есть пункт настройка мапинга если pfsense не явлается шлюзом по умолчанию.
    Или 2. Пробрасывать порт в туннеле ssh.
    Или что-н ещё.



  • Тоже имею одну AP без возможности указания шлюза.
    Доступ к ней появляется по внутреннему IP, если в сети поднять PPTP(RRAS) на любой (Windows) машине внутри сети, а на pfSense пробросить TCP 1723 и GRE на эту машину.
    Скорее всего  будет работать и с L2TP\SSTP, PPTP просто исторически уже есть, хотя и не используется.



  • 2 Scodezan: Вы абсолютно правы. Пруф №1, и, как следствие, пруф №2.

    Всем большое человеческое спасибо !


Log in to reply