Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Port forwarding подмена ip

    Scheduled Pinned Locked Moved Russian
    11 Posts 4 Posters 1.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      misterzym
      last edited by

      Есть открытое vpn соединение, правилами маршрутизации некоторые компьютеры сети направлены через него, все работает прекрасно, ко всему есть доступ.

      Но есть проблема, при входе из сети за vpn на наш локальный сервер (не pfsense, другая машина), идет пакет к серверу, но сервер отвечает не в интерфейс opt3 а в wan0 что приводит к невозможности установки соединения между сетью за vpn и нашим локальным сервером.

      Стоит правило nat направляющее из opt3 с определенным портом в айпи нашего сервера локального, то же в определенный порт.
      Стоят правила opt3 и openVPN и LAN разрешающие соединения по порту входящему и исходящему, однако в приходящем на наш сервер пакете, в source значиться не ip интерфейса opt3 а ip интерфейса wan0.

      Подскажите, где можно устроить подмену ip значения source, что бы сервер мог направить трафик обратно в opt3, как положено.

      1 Reply Last reply Reply Quote 0
      • P
        PbIXTOP
        last edited by

        @misterzym:

        Есть открытое vpn соединение, правилами маршрутизации некоторые компьютеры сети направлены через него, все работает прекрасно, ко всему есть доступ.

        Но есть проблема, при входе из сети за vpn на наш локальный сервер, идет пакет к серверу, но сервер отвечает не в интерфейс opt3 а в wan0 что приводит к невозможности установки соединения между сетью за vpn и нашим локальным сервером.

        Стоит правило nat направляющее из opt3 с определенным портом в айпи нашего сервера локального, то же в определенный порт.
        Стоят правила opt3 и openVPN и LAN разрешающие соединения по порту входящему и исходящему, однако в приходящем на наш сервер пакете, в source значиться не ip интерфейса opt3 а ip интерфейса wan0.

        Подскажите, где можно устроить подмену ip значения source, что бы сервер мог направить трафик обратно в opt3, как положено.

        Делается все это в NAT outbound и обычно в таких ситуациях используют LAN интерфейс для замены Sourceю Да и не должно быть проблем - на FreeBSD с возвратом пакетов после NAT

        1 Reply Last reply Reply Quote 0
        • M
          misterzym
          last edited by

          Может я не совсем правильно выразился - сервер это одна из машин внутри нашей локальной сети, а не машина на которой стоит pfSense.
          Сидим мы на 2.2.4-RELEASE (i386) FreeBSD

          Вот мой скрин с outbound
          opt3 - мой vpn
          wan0 - обычный интернет
          wan1 - резерный интернет

          Настраивал по гайдам, так что ткните пальцем что подправить, сам не очень силен в этом.

          outbound.png
          outbound.png_thumb

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Добрый.

            @misterzym:

            Но есть проблема, при входе из сети за vpn на наш локальный сервер, идет пакет к серверу, но сервер отвечает не в интерфейс opt3 а в wan0 что приводит к невозможности установки соединения между сетью за vpn и нашим локальным сервером.

            Что шлюзом у локального сервера ? Должен быть ip пф. Проверяйте.

            1 Reply Last reply Reply Quote 0
            • P
              PbIXTOP
              last edited by

              @misterzym:

              Может я не совсем правильно выразился - сервер это одна из машин внутри нашей локальной сети, а не машина на которой стоит pfSense.
              Сидим мы на 2.2.4-RELEASE (i386) FreeBSD

              Вот мой скрин с outbound
              opt3 - мой vpn
              wan0 - обычный интернет
              wan1 - резерный интернет

              Настраивал по гайдам, так что ткните пальцем что подправить, сам не очень силен в этом.

              Outbond NAT правила срабатывают для новых подключений исходящих с интерфейса.
              Они просто не будут применяться при движении пакета ВНЕШНИЕ ИНТЕРФЕЙСЫ->LAN.
              А поскольку pfSense по умолчанию statefull firewall обратный пакет LAN->Внешние интерфейсы уже не будет обрабатываться outbond NAT.

              1 Reply Last reply Reply Quote 0
              • M
                misterzym
                last edited by

                @werter:

                Что шлюзом у локального сервера ? Должен быть ip пф. Проверяйте.

                на сервере шлюз и DNS сервер - наш pfsense стоит

                @PbIXTOP:

                Outbond NAT правила срабатывают для новых подключений исходящих с интерфейса.
                Они просто не будут применяться при движении пакета ВНЕШНИЕ ИНТЕРФЕЙСЫ->LAN.
                А поскольку pfSense по умолчанию statefull firewall обратный пакет LAN->Внешние интерфейсы уже не будет обрабатываться outbond NAT.

                Так какой же выход из ситуации? Неужели нельзя просто подменить в пакете source ip, что бы сервер наш сам мог ответить в нужном направление?

                1 Reply Last reply Reply Quote 0
                • P
                  pigbrother
                  last edited by

                  Есть открытое vpn соединение, правилами маршрутизации некоторые компьютеры сети направлены через него, все работает прекрасно, ко всему есть доступ.

                  Откуда, куда и какое vpn соединение поднято?
                  некоторые компьютеры сети направлены через него Сети за клиентом VPN в удаленном офисе?

                  1 Reply Last reply Reply Quote 0
                  • M
                    misterzym
                    last edited by

                    Объяснения всегда были не самой моей сильной частью

                    Вот план схема работы нашей сети, с расшифровкой

                    1 Reply Last reply Reply Quote 0
                    • P
                      PbIXTOP
                      last edited by

                      А как у вас идет трасерт до  router белый ip с самого pfSense?

                      1 Reply Last reply Reply Quote 0
                      • M
                        misterzym
                        last edited by

                        К сожалению мне неизвестно точное строение той внутренней сети за сервером vpn. Мне просто не известен адрес этого роутера.

                        Что бы было понимание - это сервис vpn серверов, предоставляющий доступ в интернет с белыми ip, для тех, кому провайдер не дает таковых
                        И с их стороны я общался то же с тех. поддержкой - все отлично, пакеты уходят как должны, есть проброс нужных портов
                        Когда с наших компьютеров выходишь через них в интернет - все хорошо, данные идут в обе стороны
                        Когда с белого ip входишь - данные идут вплоть до локального сервера на нашей стороне, а дальше уходят в wan0 и пропадают с концами.

                        1 Reply Last reply Reply Quote 0
                        • P
                          PbIXTOP
                          last edited by

                          Это нормальное поведение большинства маршрутизаторов — отправлять пакеты по кратчайшему пути, а не в тот порт в который они пришли.
                          Попробуйте покапать в теме Sticky connections, но не знаю как там будет отрабатывается отсутствие глобальных маршрутов в OPT3.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.