PfSense: настройка межсетевого экрана



  • Здравствуйте. Помогите мне пожалуйста. Я с pfSense практически не знаком, и ни где не могу найти информацию. Как пробросить порты для доступа к видеонаблюдению через мобильное приложение. IP видеорегистратора статичен, порты:
    порт http 80
    порт https 443
    порт сервера 6036
    порт rtsp 554
    Буду очень благодарен за помощь.



  • @zabiyako
    Здр
    Процесс проброса достаточно прост
    Вот 3 ссылки
    http://xaxatyxa.ru/_pfsense/probros-porta-pfsense.html
    https://docs.netgate.com/pfsense/en/latest/nat/forwarding-ports-with-pfsense.html
    https://www.youtube.com/results?search_query=pfsense+port+forwarding

    и пример проброса для порта 443
    b423243f-a001-49f7-8a4d-bb55f4a963ca-image.png



  • Я правильно понимаю: необходимо создать запись для каждого порта?





  • По идеи после всех манипуляций, через браузер, с указанием внешнего IP и порта, должен произойти вход на видеоресивер, так?



  • ...ни чего не получается. Прописал все 4 порта. Нет доступа ни через браузер, не через мобильное приложение.



  • @zabiyako Верно
    так угадать сложно , что Вы сделали и как настроили
    Показывайте настройки проброса портов и правила на WAN интерфейсе



  • @Konstanti Снимок экрана (1).png
    это первый пункт



  • имена drv video для каждого порта



  • Снимок экрана (6).png

    это 4 пункт



  • @zabiyako
    Пункт 1 в ссылке был указан , чтобы создать 1 алиас для группы портов
    чтобы Вам жизнь облегчить
    Остается пункт 4
    Так визуально проброс сделан верно
    Теперь покажите правила файрвола на WAN интерфейсе
    Если у Вас работает проброс , к примеру , на 1с сервер
    то должно и работать на видеорегистратор
    тут все аналогично
    покажите правила файрвола на wan интерфейсе



  • Снимок экрана (7).png



  • @zabiyako насколько я вижу, попытки соединения на 80-м порту есть, почему соединение не устанавливается, с этим надо разбираться. Советую использовать tcpdump на lan интерфейсе, для начала



  • в локальной среде мобильное приложение работает на 80 порту. Как и в браузере с использованием своего внутреннего IP. А вот с сим карты, или TOR с внешнего IP - ни как.



  • tcpdump запустил. что в ней должно быть?



  • А в настройках видеорегистратора DHCP должен быть отключен?



  • @zabiyako said in PfSense: настройка межсетевого экрана:

    А в настройках видеорегистратора DHCP должен быть отключен?

    Клиент или сервер DHCP ? Часто Регистраторы имеют DHCP для раздачи адресов камерам на портах, для камер предназначенных. Если камеры в сети работают (видны) - менять ничего не нужно.
    LAN-порт видеорегистратора просто должен иметь статический IP в вашей сети.
    Частая ошибка - на видеорегистраторе на LAN-порту неверно или вообще не указан адрес шлюза (у вас же шлюзом pfSense?) по умолчанию. Тогда в сети все работает, при пробросе портов - нет.



  • Да, все верно. IP статичен, шлюз указан, он же pfSense. В сети работает, через инет - нет.



  • @zabiyako Читайте документацию на tcpdump
    запускайте его на lan интерфейсе pf (порт , к примеру 80 ) хост назначения видеорегистратор и смотрите , что происходит в момент установления соединения



  • Снимок экрана (6)1.png
    ...а то что за галочками нет значков "разрешить" или "Связанное правило" это норм?



  • @zabiyako
    При создании правила проброса должно быть так
    777c19d7-fb55-479c-9364-35960e7c519d-image.png

    Вы показали картинку , где видно что правила на wan интерфейсе созданы
    Попробуйте удалить правила проброса и создать заново



  • А к стати, в правилах параметр "назначение" правильно указан?

    Снимок экрана (8).png



  • @Konstanti said in PfSense: настройка межсетевого экрана:

    @zabiyako Читайте документацию на tcpdump
    запускайте его на lan интерфейсе pf (порт , к примеру 80 ) хост назначения видеорегистратор и смотрите , что происходит в момент установления соединения

    ...это на досуге. Сейчас времени нет. Кровь из носу, в кротчайший срок необходимо "найти" видеосигнал.



  • @Konstanti said in PfSense: настройка межсетевого экрана:

    @zabiyako
    Пункт 1 в ссылке был указан , чтобы создать 1 алиас для группы портов
    чтобы Вам жизнь облегчить
    Остается пункт 4
    Так визуально проброс сделан верно
    Теперь покажите правила файрвола на WAN интерфейсе
    Если у Вас работает проброс , к примеру , на 1с сервер
    то должно и работать на видеорегистратор
    тут все аналогично
    покажите правила файрвола на wan интерфейсе

    Т.е. можно было обойтись одной записью в диапазоне портов 80:6036? Как в первом пункте, так и в пробросах портов? А правило автоматически ассоциируется с записью?



  • @zabiyako Если создадите алиас , то PF сам "разложит" правила по портам как надо на основе этого алиаса
    Насчет , на досуге ... Я Вам говорю про инструмент, который поможет Вам локализовать проблему и понять , где идет потеря пакетов .
    Подсказать Вам как действовать никто тут не сможет
    Для этого надо знать и конфигурацию оборудования и топологию сети , как минимум



  • This post is deleted!


  • Может не самая явная ситуация... а IP то белый?



  • @borg said in PfSense: настройка межсетевого экрана:

    Может не самая явная ситуация... а IP то белый?

    IP выделен провайдером для юр. лица.



  • tcpdump -i igb0 -nnn host 1.1.1.1
    где igb0 - wan интерфейс
    1.1.1.1 - ip клиента



  • @borg Судя по размеру пакета в 40 байт , дальше SYN пакета дело не двигается
    и я бы рекомендовал ТС tcpdump запустить на lan интерфейсе , чтобы увидеть уходят ли пакеты к регистратору и отвечает ли он на них
    Но на wan тоже можно
    Один вопрос - Вы уверены , что у ТС интеловская сетевая карта ?



  • @Konstanti это был пример, я думаю это очевидно что нужно подставлять свои параметры.. не думаю что у ТСа есть возможность подключиться с dns cf :)



  • igb0 - wan интерфейс - имеется в виду внешний IP?
    1.1.1.1 - ip pfSense?

    извините, я не селен в терминологии..



  • @zabiyako igb0 это имя интерфейса, который смотрит в интернет, 1.1.1.1 это ip, от которого пытаетесь попасть на видеорегистратор
    И вкладку LAN тоже будьте добры, может банально запрет/нет разрешения взаимодействовать с wan из-под lan



  • @borg Тогда я бы лично немного подкорректировал бы команду
    tcpdump -nettti название lan интерфейса tcp and host ip адрес регистратора and port 80

    название интерфейса можно узнать командой ifconfig или в меню /status/interfaces

    например ,
    igb1 , em1, re1 и тд и тп



  • @Konstanti said in PfSense: настройка межсетевого экрана:

    @borg Тогда я бы лично немного подкорректировал бы команду
    tcpdump -nettti название lan интерфейса tcp and host ip адрес регистратора and port 80

    название интерфейса можно узнать командой ifconfig или в меню /status/interfaces

    например ,
    igb1 , em1, re1 и тд и тп

    так и указывать "(lan, em1)"?



  • @zabiyako
    покажите вывод команды ifconfig -m
    так будет проще
    tcpdump -i em1 - это ответ на Ваш вопрос



  • @zabiyako Судя по всему
    Вам надо такую команду выполнить
    tcpdump -i em1 tcp and host 192.168.1.18 and port 80

    и пробовать установить соединение извне
    и показать , что получилось



  • @zabiyako said in PfSense: настройка межсетевого экрана:

    IP статичен, шлюз указан, он же pfSense. В сети работает, через инет - нет.

    Проверяете ИЗВНЕ (с телефона, напр.) ? Или долбитесь на внешние порты из этой же ЛАН?

    Т.е. можно было обойтись одной записью в диапазоне портов 80:6036?

    Не надо так делать. Это ОЧ. БОЛЬШОЙ диапазон. Нужно ТОЧНО определить, КАКИЕ порты пользует ваш DVR.

    У вас сколько DVR?

    Покажите скрины настроек правил fw LAN, WAN , Port forward.



  • Ребята, огромное спасибо всем за участие! Извините что пропал, очень занят был. Завтра все попробую, и отпишусь.



  • @werter said in PfSense: настройка межсетевого экрана:

    @zabiyako said in PfSense: настройка межсетевого экрана:

    IP статичен, шлюз указан, он же pfSense. В сети работает, через инет - нет.

    Проверяете ИЗВНЕ (с телефона, напр.) ? Или долбитесь на внешние порты из этой же ЛАН?

    Т.е. можно было обойтись одной записью в диапазоне портов 80:6036?

    Не надо так делать. Это ОЧ. БОЛЬШОЙ диапазон. Нужно ТОЧНО определить, КАКИЕ порты пользует ваш DVR.

    У вас сколько DVR?

    Покажите скрины настроек правил fw LAN, WAN , Port forward.

    Снимок экрана (9).png

    Снимок экрана (10).png

    Снимок экрана (11).png

    Снимок экрана (12).png


Log in to reply