Port forwarding подмена ip
-
Есть открытое vpn соединение, правилами маршрутизации некоторые компьютеры сети направлены через него, все работает прекрасно, ко всему есть доступ.
Но есть проблема, при входе из сети за vpn на наш локальный сервер, идет пакет к серверу, но сервер отвечает не в интерфейс opt3 а в wan0 что приводит к невозможности установки соединения между сетью за vpn и нашим локальным сервером.
Стоит правило nat направляющее из opt3 с определенным портом в айпи нашего сервера локального, то же в определенный порт.
Стоят правила opt3 и openVPN и LAN разрешающие соединения по порту входящему и исходящему, однако в приходящем на наш сервер пакете, в source значиться не ip интерфейса opt3 а ip интерфейса wan0.Подскажите, где можно устроить подмену ip значения source, что бы сервер мог направить трафик обратно в opt3, как положено.
Делается все это в NAT outbound и обычно в таких ситуациях используют LAN интерфейс для замены Sourceю Да и не должно быть проблем - на FreeBSD с возвратом пакетов после NAT
-
Может я не совсем правильно выразился - сервер это одна из машин внутри нашей локальной сети, а не машина на которой стоит pfSense.
Сидим мы на 2.2.4-RELEASE (i386) FreeBSDВот мой скрин с outbound
opt3 - мой vpn
wan0 - обычный интернет
wan1 - резерный интернетНастраивал по гайдам, так что ткните пальцем что подправить, сам не очень силен в этом.
-
Добрый.
Но есть проблема, при входе из сети за vpn на наш локальный сервер, идет пакет к серверу, но сервер отвечает не в интерфейс opt3 а в wan0 что приводит к невозможности установки соединения между сетью за vpn и нашим локальным сервером.
Что шлюзом у локального сервера ? Должен быть ip пф. Проверяйте.
-
Может я не совсем правильно выразился - сервер это одна из машин внутри нашей локальной сети, а не машина на которой стоит pfSense.
Сидим мы на 2.2.4-RELEASE (i386) FreeBSDВот мой скрин с outbound
opt3 - мой vpn
wan0 - обычный интернет
wan1 - резерный интернетНастраивал по гайдам, так что ткните пальцем что подправить, сам не очень силен в этом.
Outbond NAT правила срабатывают для новых подключений исходящих с интерфейса.
Они просто не будут применяться при движении пакета ВНЕШНИЕ ИНТЕРФЕЙСЫ->LAN.
А поскольку pfSense по умолчанию statefull firewall обратный пакет LAN->Внешние интерфейсы уже не будет обрабатываться outbond NAT. -
Что шлюзом у локального сервера ? Должен быть ip пф. Проверяйте.
на сервере шлюз и DNS сервер - наш pfsense стоит
Outbond NAT правила срабатывают для новых подключений исходящих с интерфейса.
Они просто не будут применяться при движении пакета ВНЕШНИЕ ИНТЕРФЕЙСЫ->LAN.
А поскольку pfSense по умолчанию statefull firewall обратный пакет LAN->Внешние интерфейсы уже не будет обрабатываться outbond NAT.Так какой же выход из ситуации? Неужели нельзя просто подменить в пакете source ip, что бы сервер наш сам мог ответить в нужном направление?
-
Есть открытое vpn соединение, правилами маршрутизации некоторые компьютеры сети направлены через него, все работает прекрасно, ко всему есть доступ.
Откуда, куда и какое vpn соединение поднято?
некоторые компьютеры сети направлены через него Сети за клиентом VPN в удаленном офисе? -
Объяснения всегда были не самой моей сильной частью
Вот план схема работы нашей сети, с расшифровкой
-
А как у вас идет трасерт до router белый ip с самого pfSense?
-
К сожалению мне неизвестно точное строение той внутренней сети за сервером vpn. Мне просто не известен адрес этого роутера.
Что бы было понимание - это сервис vpn серверов, предоставляющий доступ в интернет с белыми ip, для тех, кому провайдер не дает таковых
И с их стороны я общался то же с тех. поддержкой - все отлично, пакеты уходят как должны, есть проброс нужных портов
Когда с наших компьютеров выходишь через них в интернет - все хорошо, данные идут в обе стороны
Когда с белого ip входишь - данные идут вплоть до локального сервера на нашей стороне, а дальше уходят в wan0 и пропадают с концами. -
Это нормальное поведение большинства маршрутизаторов — отправлять пакеты по кратчайшему пути, а не в тот порт в который они пришли.
Попробуйте покапать в теме Sticky connections, но не знаю как там будет отрабатывается отсутствие глобальных маршрутов в OPT3.