Открыть порты для OpenVPN.
-
Добрый день! на pfSense на работе настроен OpenVPN, из дома подключаюсь вижу всю локальную сеть все работает замечательно, есть необходимость подключаться на АТСку через определенное ПО, сам IP адрес АТС пингуется из дома но через ПО я на нее зайти не могу (Web интерфейса у нее нет), работает ПОшка через определенный порт, я так понимаю нужно какое то разрешающее правило на этот порт настроить? в правилах WAN или в правилах OpenVPN ?
-
@guf-rolex-x доброго дня
уверены,что проблема в pf ? может софт на атс настроен на доступ с определенных сетей ?
для успокоения , покажите правила на опенвпн интерфейсе
на wan должен быть открыт только 1194 ( или любой другой который использует openvpn сервер) -
@konstanti не уверен, WAN порт 1194 открыт, ПО для АТС работает по порту UDP 4127 и 22333, получается когда я подключаюсь через OpenVPN я вижу всю свою локальную сеть, но зайти на АТС через это ПО не могу, вот и предположил что где то нужно разрешить эти порты.
еще такой нюанс, в локальной сети пытаюсь проверить доступность этого порта командой telnet, не удалось установить подключение к этому узлу, может и не в pf вовсе дело. -
@guf-rolex-x Мое мнение , субъективное, дело не в PF
Скорее всего , в софте АТС
По правилам все ок
Ради интереса , можете использовать NMAP для того , чтобы понять , какие UDP порты открыты у АТС
Telnet работает с UDP ? -
@konstanti сканировал nmap-ом, там вообще нет такого порта UDP 4127 (хотя в ПОшке указывается что 4127 базовый управляющий порт), отображает только порты ftp, blackice-icecap, h.323-gatekeeper
-
@guf-rolex-x said in Открыть порты для OpenVPN.:
blackice-icecap
Уверены , что udp порты сканировали ?
Ftp - tcp
blackice-icecap - tcp
NMAP же при выводе пишет
порт/протокол
nmap -sU адрес хоста - сканирование UDP портов -
@konstanti да ошибся, не пользовался не когда nmap, сканировал именно так nmap -sU 192.168.XX.XX, так после сканирования вообще не отображается не каких UDP портов, из руководства
скрин скана nmap 
-
@guf-rolex-x
Вот что выдает инет по поводу 4127
Если мы говорим от IP АТС Агат
Больше ничего не скажу об этой АТС , не знаю ее
Но , если это действительно так ,что нельзя из разных сетей подсоединяться
То понятно , почему Вы не можете соединиться
Я бы рекомендовал бы Вам попробовать НАТить 4127 на Lan интерфейсе
Вот как-то так
-
Добрый.
Начните с начала.
Вкл. логирование на пф. Запустите свой софт. Смотрите, что в логах пф.
Если там ничего, то имеется возможность надампить пакетов прямо из вебки пф.Зы. Как вариант, ваша АТС-ка не позволяет с ней работать с адресов, отличных от локальных. Попробуйте у нее в настройках это изменить.
-
@werter said in Открыть порты для OpenVPN.:
Как вариант, ваша АТС-ка не позволяет с ней работать с адресов, отличных от локальных
В общем то это и предполагалось в ответе @Konstanti . Как и вариант использования NAT
-
спасибо за советы, буду пробовать.
-
@konstanti попробовал по вашему примеру, не работает.
-
@guf-rolex-x а порт почему не 4127 ??????
-
@konstanti подключение к АТС происходит по двум ПО одно ПО конфигурационное, второе что бы перезагрузить/выключить АТС, восстановление и обновление ПО АТС, так вот оно работает по порту 22333, решил на нем и попробовать.
-
Об этом идет речь ? Если об этом , обратите внимание на протокол
попробуйте в НАТе поменять протокол
Или как вариант
Попробуйте для начала НАТить все пакеты от 10.0.1.0/24 , независимо от протокола и порта -
@konstanti
нет там именно UDP, скрин из руководства -
@guf-rolex-x Какой ip адрес у атс ?
какой ip у lan интерфейса ? -
@konstanti АТС 192.168.88.13 LAN 192.168.88.6
-
@guf-rolex-x Вы чуть выше показывали работу Nmap
с другим адресом - там не было ошибки ?
Давайте еще раз
Из сети 192.168.88.0/24 с любого хоста locator соединяется нормально ?
а из сети 10.0.1.0/24 не соединяется ? Верно ?
Попробовали Натить все пакеты без указания протокола и порта? Оставляете только источником сеть OPenvpn .
Tcpdump использовать умеете ?
В PF - раздел Diagnostics
Покажите весь трафик на lan интерфейсе для 192.168.88.13 , когда пытаетесь из 10.0.1.0 до него достучаться
И еще просьба - если хотите , чтобы Вам помогли , лучше показывать нормальные текущие настройки , а не картинки из документации . -
@konstanti да ошибся это другая подсеть, 192.168.50.13 и 192.168.50.6 - вот эти IP, из сети 192.168.50.0/24 с любого хоста работает нормально, все верно из сети 10.0.1.0/24 не работает, все пакеты натить не пробовал, попробую, Tcpdump не пользовался, не установлен такой пакет у меня, в разделе Diagnostics нет такого.
