PfSense: настройка межсетевого экрана
-
А в настройках видеорегистратора DHCP должен быть отключен?
-
@zabiyako said in PfSense: настройка межсетевого экрана:
А в настройках видеорегистратора DHCP должен быть отключен?
Клиент или сервер DHCP ? Часто Регистраторы имеют DHCP для раздачи адресов камерам на портах, для камер предназначенных. Если камеры в сети работают (видны) - менять ничего не нужно.
LAN-порт видеорегистратора просто должен иметь статический IP в вашей сети.
Частая ошибка - на видеорегистраторе на LAN-порту неверно или вообще не указан адрес шлюза (у вас же шлюзом pfSense?) по умолчанию. Тогда в сети все работает, при пробросе портов - нет. -
Да, все верно. IP статичен, шлюз указан, он же pfSense. В сети работает, через инет - нет.
-
@zabiyako Читайте документацию на tcpdump
запускайте его на lan интерфейсе pf (порт , к примеру 80 ) хост назначения видеорегистратор и смотрите , что происходит в момент установления соединения -
...а то что за галочками нет значков "разрешить" или "Связанное правило" это норм? -
@zabiyako
При создании правила проброса должно быть так
Вы показали картинку , где видно что правила на wan интерфейсе созданы
Попробуйте удалить правила проброса и создать заново -
А к стати, в правилах параметр "назначение" правильно указан?
-
@Konstanti said in PfSense: настройка межсетевого экрана:
@zabiyako Читайте документацию на tcpdump
запускайте его на lan интерфейсе pf (порт , к примеру 80 ) хост назначения видеорегистратор и смотрите , что происходит в момент установления соединения...это на досуге. Сейчас времени нет. Кровь из носу, в кротчайший срок необходимо "найти" видеосигнал.
-
@Konstanti said in PfSense: настройка межсетевого экрана:
@zabiyako
Пункт 1 в ссылке был указан , чтобы создать 1 алиас для группы портов
чтобы Вам жизнь облегчить
Остается пункт 4
Так визуально проброс сделан верно
Теперь покажите правила файрвола на WAN интерфейсе
Если у Вас работает проброс , к примеру , на 1с сервер
то должно и работать на видеорегистратор
тут все аналогично
покажите правила файрвола на wan интерфейсеТ.е. можно было обойтись одной записью в диапазоне портов 80:6036? Как в первом пункте, так и в пробросах портов? А правило автоматически ассоциируется с записью?
-
@zabiyako Если создадите алиас , то PF сам "разложит" правила по портам как надо на основе этого алиаса
Насчет , на досуге ... Я Вам говорю про инструмент, который поможет Вам локализовать проблему и понять , где идет потеря пакетов .
Подсказать Вам как действовать никто тут не сможет
Для этого надо знать и конфигурацию оборудования и топологию сети , как минимум -
This post is deleted! -
Может не самая явная ситуация... а IP то белый?
-
@borg said in PfSense: настройка межсетевого экрана:
Может не самая явная ситуация... а IP то белый?
IP выделен провайдером для юр. лица.
-
tcpdump -i igb0 -nnn host 1.1.1.1
где igb0 - wan интерфейс
1.1.1.1 - ip клиента -
@borg Судя по размеру пакета в 40 байт , дальше SYN пакета дело не двигается
и я бы рекомендовал ТС tcpdump запустить на lan интерфейсе , чтобы увидеть уходят ли пакеты к регистратору и отвечает ли он на них
Но на wan тоже можно
Один вопрос - Вы уверены , что у ТС интеловская сетевая карта ? -
@Konstanti это был пример, я думаю это очевидно что нужно подставлять свои параметры.. не думаю что у ТСа есть возможность подключиться с dns cf :)
-
igb0 - wan интерфейс - имеется в виду внешний IP?
1.1.1.1 - ip pfSense?извините, я не селен в терминологии..
-
@zabiyako igb0 это имя интерфейса, который смотрит в интернет, 1.1.1.1 это ip, от которого пытаетесь попасть на видеорегистратор
И вкладку LAN тоже будьте добры, может банально запрет/нет разрешения взаимодействовать с wan из-под lan -
@borg Тогда я бы лично немного подкорректировал бы команду
tcpdump -nettti название lan интерфейса tcp and host ip адрес регистратора and port 80название интерфейса можно узнать командой ifconfig или в меню /status/interfaces
например ,
igb1 , em1, re1 и тд и тп -
@Konstanti said in PfSense: настройка межсетевого экрана:
@borg Тогда я бы лично немного подкорректировал бы команду
tcpdump -nettti название lan интерфейса tcp and host ip адрес регистратора and port 80название интерфейса можно узнать командой ifconfig или в меню /status/interfaces
например ,
igb1 , em1, re1 и тд и тптак и указывать "(lan, em1)"?