Проброс портов Inet => PFsense => Router Tp-link => Recorder

Spics

Народ, в общем проблема такова:

1. Есть PF 2.4.4 с белым IP от провайдера.
   (46.50.148.150) WAN IP (172.16.11.254) LAN IP
2. Есть подключенный по LAN к нему роутер. (172.16.11.67) LAN

Задача, получить доступ к вебморде роутера из интернета.

Стандартными средствами NAT =>Port Forward я настроил проброс портов до ротура внутри локальной сети.

На роутере доступ к вебморде по Wan открыт. Если из локальной сети обратиться на WAN IP роутера (172.16.11.67) то спокойно попадаю на его морду.

Но если я обращаюсь на WAN PFsense и указываю порт то не могу попасть туда же. Перекурил все мануалы, но ответа так и не нашел.

Провайдер порт не блокирует.

Правила НА WAN:

Правила на PORT FORWARD:

Настройки роутера:
WAN
МАС-адрес: 08-62-66-30-9A-11
IP-адрес: 172.16.11.67
Маска подсети: 255.255.255.0
Основной шлюз: 172.16.11.254
DNS-сервер: 172.16.11.254 , 0.0.0.0

Народ, я уже сломал всю голову. Посмотрите свежим взглядом, что не так?

Spics

Сейчас переключился на другого провайдера, попрежему при этих правилах ничего не работает. Удалил все правила, и попробовал по новой. Результат нулевой.

Забыл упомянуть на сервере Мультиван настроен. Есть несколько независимых каналов.

Железяка на которую делаю проброс получает IP по DHCP. Он всегда одинаковый. И ходит она в интернет всегда через один и тот же WAN.

Spics

Сейчас со свежей головой полез в State:

Вот что вижу при подключении с мобильного интеренета на адрес:

46.50.148.150:8080

По всему выходит что проброс работает, но почему-то обратно ни кто не отвечает... Или я чего то не вижу...

Вот логи Фаервола, говорит что все пропустил, но вебморду я у роутера так и не увидел...

Konstanti

@Spics Здр
Вопрос такой
Какой шлюз по умолчанию у роутера TP-LINK ?

Spics

@Konstanti
МАС-адрес: 08-62-66-30-9A-11
IP-адрес: 172.16.11.67
Маска подсети: 255.255.255.0
Основной шлюз: (172.16.11.254)
DNS-сервер: 172.16.11.254 , 0.0.0.0

172.16.11.254 - адрес PFsense LAN интерфейс.

Konstanti

@Spics
Я бы решал такую проблему так
Запускается tcpdump на lan интерфейсе PF , и изучается трафик на порту 8080 между pf и tp-link в момент проброса портов
если ответные пакеты от tp-link есть
то надо смотреть , через какой wan порт уходят ответы
если ответов нет , то надо разбираться с tp-linkoм

Spics

@Konstanti

Подскажите, я с tcpdump не работал.
Синтаксис команды если не сложно.

Konstanti

@Spics
2 пути

1. /Diagnostics/Packet Capture
   Interface LAN
   Protocol TCP
   Host 172.16.11.67
   Port 8080

2. В консоли PF
   /Status/Interfaces - смотрите название Вашего lan интерфейса ( как правило , по названию драйвера сетевой карты)

   tcpdump -netti название Вашего LAN интерфейса tcp and port 8080 and host 172.16.11.67

Mister511

This post is deleted!

Mister511

@Spics Привет, зачем настраивать роутер в локольной сети через ван?

Spics

@Mister511

Задача такая: Я должен иметь возможность зайти по белому IP на роутер находящийся за Pfsense.

Spics

@Konstanti спасибо.

Поставил Level of detail : Normal

176.59.139.119 - это я пытаюсь зайти на 46.50.148.150:8080 зайти.

12:37:13.744014 IP 66.102.9.104.49456 > 172.16.11.67.8080: tcp 0
12:37:13.744376 IP 172.16.11.67.8080 > 66.102.9.104.49456: tcp 0
12:37:15.924092 IP 176.59.139.119.22852 > 172.16.11.67.8080: tcp 0
12:37:15.924533 IP 172.16.11.67.8080 > 176.59.139.119.22852: tcp 0
12:37:16.217042 IP 176.59.139.119.43872 > 172.16.11.67.8080: tcp 0
12:37:16.217446 IP 172.16.11.67.8080 > 176.59.139.119.43872: tcp 0
12:37:16.949915 IP 176.59.139.119.22852 > 172.16.11.67.8080: tcp 0
12:37:16.950328 IP 172.16.11.67.8080 > 176.59.139.119.22852: tcp 0
12:37:17.291798 IP 176.59.139.119.43872 > 172.16.11.67.8080: tcp 0
12:37:17.292250 IP 172.16.11.67.8080 > 176.59.139.119.43872: tcp 0
12:37:17.791075 IP 66.102.9.104.49456 > 172.16.11.67.8080: tcp 0
12:37:17.791392 IP 172.16.11.67.8080 > 66.102.9.104.49456: tcp 0
12:37:18.937073 IP 176.59.139.119.22852 > 172.16.11.67.8080: tcp 0
12:37:18.937385 IP 172.16.11.67.8080 > 176.59.139.119.22852: tcp 0
12:37:19.241348 IP 176.59.139.119.43872 > 172.16.11.67.8080: tcp 0
12:37:19.241676 IP 172.16.11.67.8080 > 176.59.139.119.43872: tcp 0
12:37:22.917921 IP 176.59.139.119.22852 > 172.16.11.67.8080: tcp 0
12:37:22.918315 IP 172.16.11.67.8080 > 176.59.139.119.22852: tcp 0
12:37:23.245221 IP 176.59.139.119.43872 > 172.16.11.67.8080: tcp 0
12:37:23.245594 IP 172.16.11.67.8080 > 176.59.139.119.43872: tcp 0
12:37:25.790650 IP 66.102.9.104.49456 > 172.16.11.67.8080: tcp 0
12:37:25.791388 IP 172.16.11.67.8080 > 66.102.9.104.49456: tcp 0
12:37:31.263880 IP 176.59.139.119.22852 > 172.16.11.67.8080: tcp 0
12:37:31.264202 IP 172.16.11.67.8080 > 176.59.139.119.22852: tcp 0
12:37:31.274615 IP 176.59.139.119.43872 > 172.16.11.67.8080: tcp 0
12:37:31.274945 IP 172.16.11.67.8080 > 176.59.139.119.43872: tcp 0
12:37:41.783137 IP 66.102.9.104.49456 > 172.16.11.67.8080: tcp 0
12:37:41.783529 IP 172.16.11.67.8080 > 66.102.9.104.49456: tcp 0

Mister511

@Spics тыкни его в локалку
На туполинке (tp-Link) дай в настройках локалки тот же ип что и получаешь на ване, а вообще зашей его в openwrt

Spics

@Mister511
Перепрошить не могу, железяка не моя. По голове не погладят.

Ты предлагаешь ip указать ему статикой? А что изменится?

Konstanti

@Spics Итак , видим , что ответ от tp-link есть
Дальше можете изучать , через какой wan интерфейс уходят ответные пакеты
теперь запускаете tcpdump/ packet capture на Ваших wan интерфейсах
только адрес хоста не указываете ( он уже будет другим)

и еще вопрос - какая сетевая карта на wan/lan ??? realtek ???

Spics

@Konstanti

Так выходит что и обратно пакеты уходят...

12:59:25.140305 IP 176.59.139.119.44192 > 46.50.148.150.8080: tcp 0
12:59:25.394624 IP 176.59.139.119.44194 > 46.50.148.150.8080: tcp 0
12:59:26.191082 IP 176.59.139.119.44192 > 46.50.148.150.8080: tcp 0
12:59:26.482765 IP 176.59.139.119.44194 > 46.50.148.150.8080: tcp 0
12:59:26.980309 IP 66.102.9.102.61809 > 46.50.148.150.8080: tcp 0
12:59:28.210881 IP 176.59.139.119.44192 > 46.50.148.150.8080: tcp 0
12:59:28.454706 IP 176.59.139.119.44194 > 46.50.148.150.8080: tcp 0
12:59:32.246186 IP 176.59.139.119.44192 > 46.50.148.150.8080: tcp 0
12:59:32.454171 IP 176.59.139.119.44194 > 46.50.148.150.8080: tcp 0
12:59:34.979757 IP 66.102.9.102.61809 > 46.50.148.150.8080: tcp 0
12:59:40.289719 IP 176.59.139.119.44192 > 46.50.148.150.8080: tcp 0
12:59:40.933540 IP 176.59.139.119.44194 > 46.50.148.150.8080: tcp 0

Wan я для IP Роутера (172.16.11.67) прописал принудительно.
Данный роутер ходит в интернет только через 1 IP/ 46.50.148.150.

Карты производства HP
Модель: HP NC364T

Konstanti

@Spics
ОК
что с ответом на вопрос с картой ?
realtek ???
Попробуйте сделать так
/System/Advanced/Networking

Spics

@Konstanti
Уже видел подобное решение в мануалах и тут на форуме. Галки уже стоят, что с ними что без них проблема не решается.

Mister511

@Spics покажи правила проброса 172.16.11.67 8080

Spics

@Mister511

Вот правила на WAN, открыл кучу других портов эфекта нет.

А вот правила проброса из Port forward: