Проброс портов за OpenVPN



  • TcpDump (он же Packet Capture) показал, что пакеты уходят в туннель, хост их получает и отвечает, но у него гетвей уже свой. Проблема с маршрутизацией в данном случае





  • С него и начал…



  • Т.е. кто-то подкл извне к вашему пф по опенвпн и хочет получить доступ к переехавшему серверу ?
    Какая адресация локальных сетей в сети пф и удаленной сети ? Она не должна быть 192.168.0.х или 192.168.1.х.

    1. На удаленном сервере шлюзом должен быть его пф.
    2. Удаленный сервер должен быть доступен из локальн. сети за пф.
    3. При подкл. к пф головного офиса клиенты должны получать от этого пф маршрут в удаленную сеть.

    А лучше - рисуйте схему с адресацией.



  • Примерная схема (извините, рисовал в Paint'е).

    Нужно на PfSense 1 настроить проброс портов на сервер за PfSense 2. Туннель на OpenVPN. Сети друг друга видят и в локалке все работает отлично




  • Как мне кажется, нужно копать в сторону Outbound NAT на клиентском PfSense. Но там днем люди работают, эксперименты с сеткой только утром и в обед….



  • Вижу сеть на пф1 192.168.0.x И это очень плохо. Почему ? Потому что чаще всего внешние клиенты, подключаясь, напр.,  к (своему) ви-фи роутеру получают адрес из сети 192.168.0.x или 192.168.1.x (никто ведь не меняет настр. сети в ви-фи роутерах по умолчанию, да ?) И если они при таких условиях будут подкл к вашему пф1 - будут проблемы. Большие.  И вы с большой долей вероятности столкнетесь с этим.

    Вариант1- сменить адресацию в локальн. сети пф1.
    Вариант2- При подкл. внешн. клиентов к пф1 заворачивать в туннель весь трафик этих клиентов, что создаст нагрузку на ваш интернет-канал.

    3. При подкл. к пф головного офиса клиенты должны получать от этого пф маршрут в удаленную сеть.

    Выполнено ?



  • Да маршруты видно, там уже работает один сервер. По поводу Wi-Fi - это учли, отключаем при настройке DHCP, и либо включаем режим AP, либо используем LAN интерфейс. Проблемы бывают только с особо талантливыми людьми со статичными IP



  • @Sobleum:

    Да маршруты видно, там уже работает один сервер. По поводу Wi-Fi - это учли, отключаем при настройке DHCP, и либо включаем режим AP, либо используем LAN интерфейс. Проблемы бывают только с особо талантливыми людьми со статичными IP

    Вы меня не поняли. Как вы можете их учесть ? Заходит чел в кафе или приходит домой и подкл. к своему ви-фи. Получает адрес из того диапазона, что я описал выше. После подкл. к впн на пф1. Всё. Приехали. Конфликт адресов. Вы за каждым бегать будете?

    "Спасибо" скажите тому, кто рабочую сеть строил с такой адресацией.



  • Мне кажется, что мы с Вами оба запутались. Клиенты не подключаются по VPN, это планшеты с торговой программой. Они по внешнему IP и по порту скидывают данные на сервер. Сейчас сервер переезжает в филиал и что-бы не перенастраивать всех мобильных агентов, надо как-то сохранить проброс по старым настройкам (ну кроме конечного IP сервера)



  • Настроить на конечном сервере новый адрес.
    Используете адресацию того филиала в который переехал.
    Порт форвард поправить на новый адрес сервера.
    все.



  • Доброе.
    Т.е. вы изнутри лок. сети подкл. по внешнему адресу сервера, к-ый физически расположен в этой же локальной сети ? Это nat loopback получается.

    Вы по имени сервера или по его ip подкл ?



  • @smils:

    Настроить на конечном сервере новый адрес.
    Используете адресацию того филиала в который переехал.
    Порт форвард поправить на новый адрес сервера.
    все.

    Так и сделал с самого начала. Только у в новом месте у сервера новый шлюз, пакеты-то туда нормально приходят, а вот обратно через свой шлюз улетают и связи нет получается



  • @werter:

    Доброе.
    Т.е. вы изнутри лок. сети подкл. по внешнему адресу сервера, к-ый физически расположен в этой же локальной сети ? Это nat loopback получается.

    Вы по имени сервера или по его ip подкл ?

    Из внешней сети. По 3G работают. Из локалки все отлично



  • В общем, я настроил правило на сервере Pf1 для NAT  OutBound на интерфейс OpenVPN и Destination удаленная подсеть (192.168.10.0). Пока полет нормальный. Будем мониторить



  • Т.е. вы впн-интерфейс объявили явно ?



  • @werter:

    Т.е. вы впн-интерфейс объявили явно ?

    Нет, он был в списке доступных интерфейсов



  • За два дня картина следующая: Все вроде работает, но периодически подключается со второго раза. Packet Capture показал, что трафик не идет в туннель, как будто теряется маршрут. Может стоит попробовать подвигать правило вверх или в низ?



  • Доброе.
    Оно должно стоять выше всех.



  • @werter:

    Доброе.
    Оно должно стоять выше всех.

    Я его так и поставил, просто понять хочется, почему маршрут пропадает