Проброс портов за OpenVPN



  • Доброго времени суток.
    Столкнулся со следующей проблемой. В удаленный офис, подключенный по OpenVPN, переезжает сервер, на который настроено куча мобильных устройств, перенастраивать которые не вариант. Нужно сделать проброс портов из главного офиса на сервак через туннель

    Вот здесь https://forum.pfsense.org/index.php?topic=72500.0 похожая проблема, но решение не рабочее. В моем случае со временем пропадает связь по IP.

    Может кто сталкивался и поделится опытом?



  • Доброе.
    Попробуйте без проброса - правилами fw.



  • Чет не получается…



  • TcpDump (он же Packet Capture) показал, что пакеты уходят в туннель, хост их получает и отвечает, но у него гетвей уже свой. Проблема с маршрутизацией в данном случае





  • С него и начал…



  • Т.е. кто-то подкл извне к вашему пф по опенвпн и хочет получить доступ к переехавшему серверу ?
    Какая адресация локальных сетей в сети пф и удаленной сети ? Она не должна быть 192.168.0.х или 192.168.1.х.

    1. На удаленном сервере шлюзом должен быть его пф.
    2. Удаленный сервер должен быть доступен из локальн. сети за пф.
    3. При подкл. к пф головного офиса клиенты должны получать от этого пф маршрут в удаленную сеть.

    А лучше - рисуйте схему с адресацией.



  • Примерная схема (извините, рисовал в Paint'е).

    Нужно на PfSense 1 настроить проброс портов на сервер за PfSense 2. Туннель на OpenVPN. Сети друг друга видят и в локалке все работает отлично




  • Как мне кажется, нужно копать в сторону Outbound NAT на клиентском PfSense. Но там днем люди работают, эксперименты с сеткой только утром и в обед….



  • Вижу сеть на пф1 192.168.0.x И это очень плохо. Почему ? Потому что чаще всего внешние клиенты, подключаясь, напр.,  к (своему) ви-фи роутеру получают адрес из сети 192.168.0.x или 192.168.1.x (никто ведь не меняет настр. сети в ви-фи роутерах по умолчанию, да ?) И если они при таких условиях будут подкл к вашему пф1 - будут проблемы. Большие.  И вы с большой долей вероятности столкнетесь с этим.

    Вариант1- сменить адресацию в локальн. сети пф1.
    Вариант2- При подкл. внешн. клиентов к пф1 заворачивать в туннель весь трафик этих клиентов, что создаст нагрузку на ваш интернет-канал.

    3. При подкл. к пф головного офиса клиенты должны получать от этого пф маршрут в удаленную сеть.

    Выполнено ?



  • Да маршруты видно, там уже работает один сервер. По поводу Wi-Fi - это учли, отключаем при настройке DHCP, и либо включаем режим AP, либо используем LAN интерфейс. Проблемы бывают только с особо талантливыми людьми со статичными IP



  • @Sobleum:

    Да маршруты видно, там уже работает один сервер. По поводу Wi-Fi - это учли, отключаем при настройке DHCP, и либо включаем режим AP, либо используем LAN интерфейс. Проблемы бывают только с особо талантливыми людьми со статичными IP

    Вы меня не поняли. Как вы можете их учесть ? Заходит чел в кафе или приходит домой и подкл. к своему ви-фи. Получает адрес из того диапазона, что я описал выше. После подкл. к впн на пф1. Всё. Приехали. Конфликт адресов. Вы за каждым бегать будете?

    "Спасибо" скажите тому, кто рабочую сеть строил с такой адресацией.



  • Мне кажется, что мы с Вами оба запутались. Клиенты не подключаются по VPN, это планшеты с торговой программой. Они по внешнему IP и по порту скидывают данные на сервер. Сейчас сервер переезжает в филиал и что-бы не перенастраивать всех мобильных агентов, надо как-то сохранить проброс по старым настройкам (ну кроме конечного IP сервера)



  • Настроить на конечном сервере новый адрес.
    Используете адресацию того филиала в который переехал.
    Порт форвард поправить на новый адрес сервера.
    все.



  • Доброе.
    Т.е. вы изнутри лок. сети подкл. по внешнему адресу сервера, к-ый физически расположен в этой же локальной сети ? Это nat loopback получается.

    Вы по имени сервера или по его ip подкл ?



  • @smils:

    Настроить на конечном сервере новый адрес.
    Используете адресацию того филиала в который переехал.
    Порт форвард поправить на новый адрес сервера.
    все.

    Так и сделал с самого начала. Только у в новом месте у сервера новый шлюз, пакеты-то туда нормально приходят, а вот обратно через свой шлюз улетают и связи нет получается



  • @werter:

    Доброе.
    Т.е. вы изнутри лок. сети подкл. по внешнему адресу сервера, к-ый физически расположен в этой же локальной сети ? Это nat loopback получается.

    Вы по имени сервера или по его ip подкл ?

    Из внешней сети. По 3G работают. Из локалки все отлично



  • В общем, я настроил правило на сервере Pf1 для NAT  OutBound на интерфейс OpenVPN и Destination удаленная подсеть (192.168.10.0). Пока полет нормальный. Будем мониторить



  • Т.е. вы впн-интерфейс объявили явно ?



  • @werter:

    Т.е. вы впн-интерфейс объявили явно ?

    Нет, он был в списке доступных интерфейсов



  • За два дня картина следующая: Все вроде работает, но периодически подключается со второго раза. Packet Capture показал, что трафик не идет в туннель, как будто теряется маршрут. Может стоит попробовать подвигать правило вверх или в низ?



  • Доброе.
    Оно должно стоять выше всех.



  • @werter:

    Доброе.
    Оно должно стоять выше всех.

    Я его так и поставил, просто понять хочется, почему маршрут пропадает