Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Port forwarding подмена ip

    Russian
    4
    11
    1311
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      misterzym last edited by

      Есть открытое vpn соединение, правилами маршрутизации некоторые компьютеры сети направлены через него, все работает прекрасно, ко всему есть доступ.

      Но есть проблема, при входе из сети за vpn на наш локальный сервер (не pfsense, другая машина), идет пакет к серверу, но сервер отвечает не в интерфейс opt3 а в wan0 что приводит к невозможности установки соединения между сетью за vpn и нашим локальным сервером.

      Стоит правило nat направляющее из opt3 с определенным портом в айпи нашего сервера локального, то же в определенный порт.
      Стоят правила opt3 и openVPN и LAN разрешающие соединения по порту входящему и исходящему, однако в приходящем на наш сервер пакете, в source значиться не ip интерфейса opt3 а ip интерфейса wan0.

      Подскажите, где можно устроить подмену ip значения source, что бы сервер мог направить трафик обратно в opt3, как положено.

      1 Reply Last reply Reply Quote 0
      • P
        PbIXTOP last edited by

        @misterzym:

        Есть открытое vpn соединение, правилами маршрутизации некоторые компьютеры сети направлены через него, все работает прекрасно, ко всему есть доступ.

        Но есть проблема, при входе из сети за vpn на наш локальный сервер, идет пакет к серверу, но сервер отвечает не в интерфейс opt3 а в wan0 что приводит к невозможности установки соединения между сетью за vpn и нашим локальным сервером.

        Стоит правило nat направляющее из opt3 с определенным портом в айпи нашего сервера локального, то же в определенный порт.
        Стоят правила opt3 и openVPN и LAN разрешающие соединения по порту входящему и исходящему, однако в приходящем на наш сервер пакете, в source значиться не ip интерфейса opt3 а ip интерфейса wan0.

        Подскажите, где можно устроить подмену ip значения source, что бы сервер мог направить трафик обратно в opt3, как положено.

        Делается все это в NAT outbound и обычно в таких ситуациях используют LAN интерфейс для замены Sourceю Да и не должно быть проблем - на FreeBSD с возвратом пакетов после NAT

        1 Reply Last reply Reply Quote 0
        • M
          misterzym last edited by

          Может я не совсем правильно выразился - сервер это одна из машин внутри нашей локальной сети, а не машина на которой стоит pfSense.
          Сидим мы на 2.2.4-RELEASE (i386) FreeBSD

          Вот мой скрин с outbound
          opt3 - мой vpn
          wan0 - обычный интернет
          wan1 - резерный интернет

          Настраивал по гайдам, так что ткните пальцем что подправить, сам не очень силен в этом.


          1 Reply Last reply Reply Quote 0
          • werter
            werter last edited by

            Добрый.

            @misterzym:

            Но есть проблема, при входе из сети за vpn на наш локальный сервер, идет пакет к серверу, но сервер отвечает не в интерфейс opt3 а в wan0 что приводит к невозможности установки соединения между сетью за vpn и нашим локальным сервером.

            Что шлюзом у локального сервера ? Должен быть ip пф. Проверяйте.

            1 Reply Last reply Reply Quote 0
            • P
              PbIXTOP last edited by

              @misterzym:

              Может я не совсем правильно выразился - сервер это одна из машин внутри нашей локальной сети, а не машина на которой стоит pfSense.
              Сидим мы на 2.2.4-RELEASE (i386) FreeBSD

              Вот мой скрин с outbound
              opt3 - мой vpn
              wan0 - обычный интернет
              wan1 - резерный интернет

              Настраивал по гайдам, так что ткните пальцем что подправить, сам не очень силен в этом.

              Outbond NAT правила срабатывают для новых подключений исходящих с интерфейса.
              Они просто не будут применяться при движении пакета ВНЕШНИЕ ИНТЕРФЕЙСЫ->LAN.
              А поскольку pfSense по умолчанию statefull firewall обратный пакет LAN->Внешние интерфейсы уже не будет обрабатываться outbond NAT.

              1 Reply Last reply Reply Quote 0
              • M
                misterzym last edited by

                @werter:

                Что шлюзом у локального сервера ? Должен быть ip пф. Проверяйте.

                на сервере шлюз и DNS сервер - наш pfsense стоит

                @PbIXTOP:

                Outbond NAT правила срабатывают для новых подключений исходящих с интерфейса.
                Они просто не будут применяться при движении пакета ВНЕШНИЕ ИНТЕРФЕЙСЫ->LAN.
                А поскольку pfSense по умолчанию statefull firewall обратный пакет LAN->Внешние интерфейсы уже не будет обрабатываться outbond NAT.

                Так какой же выход из ситуации? Неужели нельзя просто подменить в пакете source ip, что бы сервер наш сам мог ответить в нужном направление?

                1 Reply Last reply Reply Quote 0
                • P
                  pigbrother last edited by

                  Есть открытое vpn соединение, правилами маршрутизации некоторые компьютеры сети направлены через него, все работает прекрасно, ко всему есть доступ.

                  Откуда, куда и какое vpn соединение поднято?
                  некоторые компьютеры сети направлены через него Сети за клиентом VPN в удаленном офисе?

                  1 Reply Last reply Reply Quote 0
                  • M
                    misterzym last edited by

                    Объяснения всегда были не самой моей сильной частью

                    Вот план схема работы нашей сети, с расшифровкой

                    1 Reply Last reply Reply Quote 0
                    • P
                      PbIXTOP last edited by

                      А как у вас идет трасерт до  router белый ip с самого pfSense?

                      1 Reply Last reply Reply Quote 0
                      • M
                        misterzym last edited by

                        К сожалению мне неизвестно точное строение той внутренней сети за сервером vpn. Мне просто не известен адрес этого роутера.

                        Что бы было понимание - это сервис vpn серверов, предоставляющий доступ в интернет с белыми ip, для тех, кому провайдер не дает таковых
                        И с их стороны я общался то же с тех. поддержкой - все отлично, пакеты уходят как должны, есть проброс нужных портов
                        Когда с наших компьютеров выходишь через них в интернет - все хорошо, данные идут в обе стороны
                        Когда с белого ip входишь - данные идут вплоть до локального сервера на нашей стороне, а дальше уходят в wan0 и пропадают с концами.

                        1 Reply Last reply Reply Quote 0
                        • P
                          PbIXTOP last edited by

                          Это нормальное поведение большинства маршрутизаторов — отправлять пакеты по кратчайшему пути, а не в тот порт в который они пришли.
                          Попробуйте покапать в теме Sticky connections, но не знаю как там будет отрабатывается отсутствие глобальных маршрутов в OPT3.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post

                          Products

                          • Platform Overview
                          • TNSR
                          • pfSense
                          • Appliances

                          Services

                          • Training
                          • Professional Services

                          Support

                          • Subscription Plans
                          • Contact Support
                          • Product Lifecycle
                          • Documentation

                          News

                          • Media Coverage
                          • Press
                          • Events

                          Resources

                          • Blog
                          • FAQ
                          • Find a Partner
                          • Resource Library
                          • Security Information

                          Company

                          • About Us
                          • Careers
                          • Partners
                          • Contact Us
                          • Legal
                          Our Mission

                          We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                          Subscribe to our Newsletter

                          Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                          © 2021 Rubicon Communications, LLC | Privacy Policy