Проброс портов Inet => PFsense => Router Tp-link => Recorder



  • Народ, в общем проблема такова:

    1. Есть PF 2.4.4 с белым IP от провайдера.
      (46.50.148.150) WAN IP (172.16.11.254) LAN IP
    2. Есть подключенный по LAN к нему роутер. (172.16.11.67) LAN

    Задача, получить доступ к вебморде роутера из интернета.

    Стандартными средствами NAT =>Port Forward я настроил проброс портов до ротура внутри локальной сети.

    На роутере доступ к вебморде по Wan открыт. Если из локальной сети обратиться на WAN IP роутера (172.16.11.67) то спокойно попадаю на его морду.

    Но если я обращаюсь на WAN PFsense и указываю порт то не могу попасть туда же. Перекурил все мануалы, но ответа так и не нашел.

    Провайдер порт не блокирует.

    Правила НА WAN:

    alt text

    Правила на PORT FORWARD:

    alt text

    Настройки роутера:
    WAN
    МАС-адрес: 08-62-66-30-9A-11
    IP-адрес: 172.16.11.67
    Маска подсети: 255.255.255.0
    Основной шлюз: 172.16.11.254
    DNS-сервер: 172.16.11.254 , 0.0.0.0

    Народ, я уже сломал всю голову. Посмотрите свежим взглядом, что не так?



  • Сейчас переключился на другого провайдера, попрежему при этих правилах ничего не работает. Удалил все правила, и попробовал по новой. Результат нулевой.

    Забыл упомянуть на сервере Мультиван настроен. Есть несколько независимых каналов.

    Железяка на которую делаю проброс получает IP по DHCP. Он всегда одинаковый. И ходит она в интернет всегда через один и тот же WAN.



  • Сейчас со свежей головой полез в State:

    Вот что вижу при подключении с мобильного интеренета на адрес:

    46.50.148.150:8080
    Скриншот

    По всему выходит что проброс работает, но почему-то обратно ни кто не отвечает... Или я чего то не вижу...

    Вот логи Фаервола, говорит что все пропустил, но вебморду я у роутера так и не увидел...
    Скриншот



  • @Spics Здр
    Вопрос такой
    Какой шлюз по умолчанию у роутера TP-LINK ?



  • @Konstanti
    МАС-адрес: 08-62-66-30-9A-11
    IP-адрес: 172.16.11.67
    Маска подсети: 255.255.255.0
    Основной шлюз: (172.16.11.254)
    DNS-сервер: 172.16.11.254 , 0.0.0.0

    172.16.11.254 - адрес PFsense LAN интерфейс.



  • @Spics
    Я бы решал такую проблему так
    Запускается tcpdump на lan интерфейсе PF , и изучается трафик на порту 8080 между pf и tp-link в момент проброса портов
    если ответные пакеты от tp-link есть
    то надо смотреть , через какой wan порт уходят ответы
    если ответов нет , то надо разбираться с tp-linkoм



  • @Konstanti

    Подскажите, я с tcpdump не работал.
    Синтаксис команды если не сложно.



  • @Spics
    2 пути

    1. /Diagnostics/Packet Capture
      Interface LAN
      Protocol TCP
      Host 172.16.11.67
      Port 8080

    2. В консоли PF
      /Status/Interfaces - смотрите название Вашего lan интерфейса ( как правило , по названию драйвера сетевой карты)

      tcpdump -netti название Вашего LAN интерфейса tcp and port 8080 and host 172.16.11.67



  • This post is deleted!


  • @Spics Привет, зачем настраивать роутер в локольной сети через ван?



  • @Mister511

    Задача такая: Я должен иметь возможность зайти по белому IP на роутер находящийся за Pfsense.



  • @Konstanti спасибо.

    Поставил Level of detail : Normal

    176.59.139.119 - это я пытаюсь зайти на 46.50.148.150:8080 зайти.

    12:37:13.744014 IP 66.102.9.104.49456 > 172.16.11.67.8080: tcp 0
    12:37:13.744376 IP 172.16.11.67.8080 > 66.102.9.104.49456: tcp 0
    12:37:15.924092 IP 176.59.139.119.22852 > 172.16.11.67.8080: tcp 0
    12:37:15.924533 IP 172.16.11.67.8080 > 176.59.139.119.22852: tcp 0
    12:37:16.217042 IP 176.59.139.119.43872 > 172.16.11.67.8080: tcp 0
    12:37:16.217446 IP 172.16.11.67.8080 > 176.59.139.119.43872: tcp 0
    12:37:16.949915 IP 176.59.139.119.22852 > 172.16.11.67.8080: tcp 0
    12:37:16.950328 IP 172.16.11.67.8080 > 176.59.139.119.22852: tcp 0
    12:37:17.291798 IP 176.59.139.119.43872 > 172.16.11.67.8080: tcp 0
    12:37:17.292250 IP 172.16.11.67.8080 > 176.59.139.119.43872: tcp 0
    12:37:17.791075 IP 66.102.9.104.49456 > 172.16.11.67.8080: tcp 0
    12:37:17.791392 IP 172.16.11.67.8080 > 66.102.9.104.49456: tcp 0
    12:37:18.937073 IP 176.59.139.119.22852 > 172.16.11.67.8080: tcp 0
    12:37:18.937385 IP 172.16.11.67.8080 > 176.59.139.119.22852: tcp 0
    12:37:19.241348 IP 176.59.139.119.43872 > 172.16.11.67.8080: tcp 0
    12:37:19.241676 IP 172.16.11.67.8080 > 176.59.139.119.43872: tcp 0
    12:37:22.917921 IP 176.59.139.119.22852 > 172.16.11.67.8080: tcp 0
    12:37:22.918315 IP 172.16.11.67.8080 > 176.59.139.119.22852: tcp 0
    12:37:23.245221 IP 176.59.139.119.43872 > 172.16.11.67.8080: tcp 0
    12:37:23.245594 IP 172.16.11.67.8080 > 176.59.139.119.43872: tcp 0
    12:37:25.790650 IP 66.102.9.104.49456 > 172.16.11.67.8080: tcp 0
    12:37:25.791388 IP 172.16.11.67.8080 > 66.102.9.104.49456: tcp 0
    12:37:31.263880 IP 176.59.139.119.22852 > 172.16.11.67.8080: tcp 0
    12:37:31.264202 IP 172.16.11.67.8080 > 176.59.139.119.22852: tcp 0
    12:37:31.274615 IP 176.59.139.119.43872 > 172.16.11.67.8080: tcp 0
    12:37:31.274945 IP 172.16.11.67.8080 > 176.59.139.119.43872: tcp 0
    12:37:41.783137 IP 66.102.9.104.49456 > 172.16.11.67.8080: tcp 0
    12:37:41.783529 IP 172.16.11.67.8080 > 66.102.9.104.49456: tcp 0
    
    


  • @Spics тыкни его в локалку
    На туполинке (tp-Link) дай в настройках локалки тот же ип что и получаешь на ване, а вообще зашей его в openwrt



  • @Mister511
    Перепрошить не могу, железяка не моя. По голове не погладят.

    Ты предлагаешь ip указать ему статикой? А что изменится?



  • @Spics Итак , видим , что ответ от tp-link есть
    Дальше можете изучать , через какой wan интерфейс уходят ответные пакеты
    теперь запускаете tcpdump/ packet capture на Ваших wan интерфейсах
    только адрес хоста не указываете ( он уже будет другим)

    и еще вопрос - какая сетевая карта на wan/lan ??? realtek ???



  • @Konstanti

    Так выходит что и обратно пакеты уходят...

    12:59:25.140305 IP 176.59.139.119.44192 > 46.50.148.150.8080: tcp 0
    12:59:25.394624 IP 176.59.139.119.44194 > 46.50.148.150.8080: tcp 0
    12:59:26.191082 IP 176.59.139.119.44192 > 46.50.148.150.8080: tcp 0
    12:59:26.482765 IP 176.59.139.119.44194 > 46.50.148.150.8080: tcp 0
    12:59:26.980309 IP 66.102.9.102.61809 > 46.50.148.150.8080: tcp 0
    12:59:28.210881 IP 176.59.139.119.44192 > 46.50.148.150.8080: tcp 0
    12:59:28.454706 IP 176.59.139.119.44194 > 46.50.148.150.8080: tcp 0
    12:59:32.246186 IP 176.59.139.119.44192 > 46.50.148.150.8080: tcp 0
    12:59:32.454171 IP 176.59.139.119.44194 > 46.50.148.150.8080: tcp 0
    12:59:34.979757 IP 66.102.9.102.61809 > 46.50.148.150.8080: tcp 0
    12:59:40.289719 IP 176.59.139.119.44192 > 46.50.148.150.8080: tcp 0
    12:59:40.933540 IP 176.59.139.119.44194 > 46.50.148.150.8080: tcp 0
    

    Wan я для IP Роутера (172.16.11.67) прописал принудительно.
    Данный роутер ходит в интернет только через 1 IP/ 46.50.148.150.

    Карты производства HP
    Модель: HP NC364T



  • @Spics
    ОК
    что с ответом на вопрос с картой ?
    realtek ???
    Попробуйте сделать так
    /System/Advanced/Networking

    525d0372-f54d-4887-9238-642fc0766431-image.png



  • @Konstanti
    Уже видел подобное решение в мануалах и тут на форуме. Галки уже стоят, что с ними что без них проблема не решается.

    Скриншот



  • @Spics покажи правила проброса 172.16.11.67 8080



  • @Mister511

    Вот правила на WAN, открыл кучу других портов эфекта нет.
    Скриншот

    А вот правила проброса из Port forward:
    Скриншот



  • @Spics
    Пакеты обратно с wan интерфейса не уходят
    я вижу только запросы , ответа нет

    Если запустить tcpdump на втором wan интерфейсе , что он покажет ???



  • @Spics Dest. Ports 8080 с лан сети тоже указываете и попадаете на вэб туполинка?
    Может все же по умолчанию 80 у туполинка на ване?



  • @Konstanti
    То есть на ответы нужен свой маршрут?
    Просто из Lan я на него захожу и все работает. Куда же они диваются?
    Если роутер ходит в интернет только через свой шлюз, в другие его не пускает...

    Вот правило которым я задаю принудительный WAN для Роутера (172.16.11.67):

    Скриншот



  • @Mister511

    Да, у меня на ПК адресс : 172.16.11.230 и я спокойно открываю роутер по адресу: 172.16.11.67:8080

    Скриншот



  • This post is deleted!


  • @Spics
    На ответы свой маршрут не нужен
    По уму , по таблице состояний pf должен ответить на тот интерфейс , на который пришел первый пакет ( опция reply-to )
    Из lan Вы все видите , потому что устройства общаются напрямую , минуя pf

    Что с показаниями другого интерфейса ??? есть там ответные пакеты ???



  • @Mister511

    Ну ты же про это спросил, да захожу. Но с Внешки при сделаном пробросе не могу.

    Захожу из внешней сети с телефона через мобильный интернет, пробовал через другого провайдера (ростелеком) из квартиры. То же ничего.

    Обращаюсь к роутеру по адресу: 46.50.148.150:8080



  • @Konstanti

    Нет, выполнил тот же захват на порту WAN 1. ответов нет. Просто пустой вывод...



  • @Spics а по 80 доступен роутер с твоего компа?
    http://172.16.11.67



  • @Mister511

    Нет. Он же WAN'ом смотрит на меня а там порт открыт только 8080. По 80 порту ничего нет.



  • @Spics Floating rules есть какие-нибудь ????



  • @Konstanti

    Да. Я настраивал трафик шейпер через wizard. Больше руками ничего не дописывал.



  • @Spics Показывайте
    И посмотрите логи файрвола , нет ли там заблокированных ответных пакетов ?



  • @Konstanti

    Все, я их удалил он мне без надобности. Ситуация не изменилась.

    Скриншот



  • @Konstanti
    Вроде как все пропускает:

    Скриншот назначение 172.16.11.67



  • @Spics Вот так у меня работает
    ee4d4635-1ccd-4444-bfcf-a643963f113f-image.png



  • @Mister511
    Это хорошо, вот только при прочих равных у меня тоже самое только не работает...☹

    Ты же видишь скриншот, теже параметры, только порт другой, и всеравно не работает...



  • @Spics Только в роутере у меня не ван а лан, но у тебя говоришь с лан сети видишь ван туполинка, в качестве эксперимента попробуй через лан
    Только в настройках туполинка на лан дай адрес 172.16.11.67



  • @Mister511
    Понимаешь от ТП линка в последствии будут работать клиенты. Они статикой прописывать адреса не будут. А значит они буду получать их по DHCP. Если на роутере заработает DHCP сервер то он автоматом начнет раздавать IP в сети здания. А это не хорошо. Коммутаторы у меня не усправляемые... Отсеч его я не смогу.



  • @Spics Тебе не нужно на тплинке включать dhcp они будут получать от пфсенса


Log in to reply