Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Проброс порта из LAN в WAN

    Russian
    3
    32
    858
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      silh last edited by silh

      Приветствую.
      Необходимо из локальной сети подключаться ко внешнему адресу в Интернет по RDP.
      Создаю правило NAT:Port Forward:
      Interface - LAN
      Protocol - TCP
      Source Address - *
      Source Ports - *
      Dest. Address - LAN address
      Dest. Ports - 3389 (MS RDP)
      NAT IP - <внешн. IP>
      NAT Ports - 3389 (MS RDP)

      Правило Firewall создается автоматически.

      В итоге, не работает.

      В Diagnostic/States получают такаую фразу:
      LAN tcp 192.168.0.149:1735 -> <внешн.IP>:3389 (192.168.0.7:3389) CLOSED:SYN_SENT

      В чем проблема не понятно. Может быть надо использовать Outbound NAT? Может быть надо писать дополнительное правило фаервола, разрешающее подключения снаружи внутрь?

      Сколько не искал, так и не нашел внятной инструкции по пробросу порта наружу, все пробрасывают видимо только внутрь.

      Буду признателен тому, кто покажет в каком направлении копать.

      K 1 Reply Last reply Reply Quote 0
      • K
        Konstanti @silh last edited by Konstanti

        @silh Здр
        а расскажите поподробнее , зачем нужен проброс порта изнутри наружу ??
        Обычно делается наоборот снаружи внутрь ( для доступа к какому-то внутреннему ресурсу)
        Для выхода наружу используется NAT OUTBOUND ( при этом порт назначения не меняется )

        S 1 Reply Last reply Reply Quote 0
        • S
          silh @Konstanti last edited by

          @Konstanti
          В данном случае необходимо, чтобы сотрудник подключился к удаленному ПК компании, которая оказывает бухгалтерские услуги (подробнее сказать не могу, т.к. не знаю).
          А вообще в планах еще настроить проброс портов к оператору фискальных данных с компьютером, на которых стоят онлайн кассы, также есть пара сервисов внутри сети, которые не умеют работать с прокси.
          Поэтому тема весьма актуальна.

          Можете привести пример применения Outbound NAT?

          K 1 Reply Last reply Reply Quote 0
          • K
            Konstanti @silh last edited by

            @silh Я не совсем понимаю написанное
            Вы когда из локальной сети выходите в инет через маршрутизатор , уже используете НАТ , чтобы преобразовать внутренний ip адрес во внешний
            Удаленный ПК компании подключен напрямую к интернету или как ???
            Если ответ "или как" - то вот как раз с той стороны ( где удаленный ПК компании) возможно и нужен проброс портов снаружи к удаленному ПК .

            S 1 Reply Last reply Reply Quote 0
            • S
              silh @Konstanti last edited by

              @Konstanti
              Сейчас интернет в компании идет через прокси squid в самом же pfsense. Сам pfsense wan-портом выходит на роутер cisco, который уже в свою очередь подключен к провайдеру интернет.
              Удаленный компьютер видимо напрямую высунут в интернет, это не имеет значения, так как к нему отлично подключается если дать прямой доступ локальной машины через циску.
              Осталось понять, как работает и работает ли проброс портов в pfsense изнутри наружу.

              K 1 Reply Last reply Reply Quote 0
              • K
                Konstanti @silh last edited by

                @silh Предположу , что проблема в прокси

                1 Reply Last reply Reply Quote 0
                • werter
                  werter last edited by werter

                  Добрый.

                  @silh
                  @Konstanti
                  Предположу ,что проблема в ТС.

                  Необходимо из локальной сети подключаться ко внешнему адресу в Интернет по RDP.

                  Причем тут форвардинг? Причем тут сквид? Это делается правилами FW на ЛАН.

                  Сам pfsense wan-портом выходит на роутер cisco, который уже в свою очередь подключен к провайдеру интернет.

                  Циска чья? На ней какие правила? Если Ваша - удаляйте ее из цепочки. Пусть пф будет единственным. Лишняя головная боль (с пробросом портов в том числе)

                  S 1 Reply Last reply Reply Quote 0
                  • S
                    silh @werter last edited by

                    @werter
                    Естественно, что RDP через прокси не ходит) Потому я и пытаюсь настроить это средствами NAT.
                    Циску к сожалению удалить пока из цепочки не получится, туда заведено несколько подсетей и куча всего другого там накручено.
                    Хотите сказать из-за циски NAT на pfsense может не работать? Мне казалось для pfsense циска что есть что нет, главное интернет дает.

                    K 1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @silh last edited by Konstanti

                      @silh
                      Теперь идея понятна , надо сразу было все расписывать
                      Итак , я бы рекомендовал Вам посмотреть , что происходит на WAN интерфейсе PF в момент проброса порта 3389 (с помощью tcpdump)
                      В каком виде уходят пакеты в сторону внешнего IP и есть ли ответы

                      1 Reply Last reply Reply Quote 0
                      • werter
                        werter last edited by werter

                        Добрый.

                        @silh

                        Необходимо из локальной сети подключаться ко внешнему адресу в Интернет по RDP.

                        Еще раз. Вы похоже не понимаете, для чего нужен форвардинг.
                        В вашей схеме достаточно:

                        1. Создать правило fw на ЛАН пф, где в src будет ip лок. машины, а в dst - адрес и порт удален. машины.
                        2. С пом. команды telnet с машины из п.1 проверить доступность (осилите ?)
                        3. Разобраться с циской, если п.2 не работает.

                        Все здесь
                        https://docs.netgate.com/pfsense/en/latest/

                        K 1 Reply Last reply Reply Quote 0
                        • K
                          Konstanti @werter last edited by Konstanti

                          @werter
                          Я могу ошибаться , но мне кажется , что
                          весь tcp трафик заворачивается в squid
                          Так как squid - это http прокси , то он не умеет работать с RDP
                          Поэтому ТС пробует сделать так , чтобы проброс порта RDP срабатывал раньше , чем весь трафик попадет в squid ( те стоит задача обойти прокси )
                          Одним правилом fw на lan интерфейсе тут не ограничишься , так как RDR срабатывает раньше в ядре , чем пакет пройдет через правила фильтрации
                          Те , по логике , связка RDR на lan интерфейсе + NAT Outbound на WAN должны сработать

                          1 Reply Last reply Reply Quote 0
                          • werter
                            werter last edited by werter

                            @Konstanti
                            Сквид умеет в 2-ух режимах. В каком он у ТС - я хз.

                            А если мне надо TCP\53-й порт вовне открыть на пф? Его тоже со сквидом "согласовывать" ?
                            И зачем в ситуации ТС-а порт-форвардинг? Снова начинаем "мудрить"?

                            ТС-у попробовать, как и посоветовал.

                            Не выйдет, то:

                            если сквид в траснпаренте
                            nguvu.org/pfsense/pfSense-proxy-configuration/
                            Transparent Proxy Settings -> Bypass proxy for these destination IPs и внести адрес удален. машины

                            или

                            https://forum.netgate.com/topic/132591/AppleStore

                            S 1 Reply Last reply Reply Quote 0
                            • werter
                              werter last edited by werter

                              docs.diladele.com/faq/squid/allow_non_standard_port_through_squid.html

                              In default installation Squid does not allow HTTP or HTTPS connections to non standard ports (defaults for HTTP is port 80 and for HTTPS port 443). If you try to connect to URLs like http://www.example.com:8080 or https://www.exampe.com:8443 your browser will show the Access Denied Squid page.

                              А к стандартному rdp-клиенту сквид точно "отношения" не имеет (в нем и протокол-то собственный - RDP) . А простое правило fw на ЛАН - имеет.
                              Это если RDP over HTTPS, тогда - да. И прийдется сквидовские Additional SSL Ports и Additional Safe Ports "крутить", если rds gw будем на нестанадртный порт вешать:
                              winitpro.ru/index.php/2018/10/30/rdp-web-client-html5-na-windows-rds/
                              1cloud.ru/help/windows/nastrojka-remote-desktop-gateway

                              1 Reply Last reply Reply Quote 0
                              • S
                                silh @werter last edited by

                                Прокси не прозрачный. Пробовал на другой машине, где прокси не настроен - результат тот же.

                                Итак, проделал всё заново: создал правило (указано в первом посте), telnet по порту 3389 не проходит, в логах опять такая фраза:
                                LAN tcp 192.168.0.149:1735 -> <внешн.IP>:3389 (192.168.0.7:3389) CLOSED:SYN_SENT

                                В сети есть Usergate, на нем NAT по порту 3389 и вообще по любому работает отлично через ту же циску. Значит циска не причем, либо у пф используются какие-то совсем другие механизмы, возможно одного правила нат недостаточно.

                                @werter Если не NAT, то каким образом мне обеспечить доступность внешних ресурсов, отличных от 443 и 80?

                                Забыл еще упомянуть, пф не является шлюзом, шлюз - циска.

                                K 1 Reply Last reply Reply Quote 0
                                • K
                                  Konstanti @silh last edited by

                                  @silh Покажите вывод tcpdump на WAN интерфейсе при пробросе 3389

                                  У меня есть подозрение , что проблема именно в Cisco
                                  Но для этого надо понимать , что происходит у Вас на WAN интерфейсе
                                  192.168.0.149 - хост , инициирующий соединение ?
                                  192.168.0.7 - это LAN PF ?

                                  S 1 Reply Last reply Reply Quote 0
                                  • S
                                    silh @Konstanti last edited by

                                    @Konstanti уточните пожалуйста, как это сделать. Ранее не пользовался этим.

                                    K 1 Reply Last reply Reply Quote 0
                                    • K
                                      Konstanti @silh last edited by

                                      @silh или из консоли
                                      tcpdump -netti имя_wan_интерфейса tcp and port 3389

                                      Или
                                      В webgui
                                      /diagnostics/packet capture

                                      S 1 Reply Last reply Reply Quote 0
                                      • S
                                        silh @Konstanti last edited by

                                        @Konstanti
                                        вот что вышло
                                        17:05:18.569764 IP 192.168.0.149.9841 > <внешн.ip>.3389: tcp 0
                                        17:05:19.569990 IP 192.168.0.149.9841 > <внешн.ip>.3389: tcp 0
                                        17:05:21.570318 IP 192.168.0.149.9841 > <внешн.ip>.3389: tcp 0
                                        17:05:25.571944 IP 192.168.0.149.9841 > <внешн.ip>.3389: tcp 0

                                        192.168.0.149 - машина, с которой инициируется соединение
                                        192.168.0.7 - адрес лан-порта ПФ

                                        K 1 Reply Last reply Reply Quote 0
                                        • K
                                          Konstanti @silh last edited by

                                          @silh Если это показания с WAN интерфейса, то тут можно сделать такой вывод
                                          1 что исходящие пакеты не натируются
                                          2 ответа нет
                                          У меня есть подозрение , что Cisco ничего не знает про сеть 192.168.0.0/24 , поэтому ответных пакетов нет.

                                          1 Reply Last reply Reply Quote 0
                                          • werter
                                            werter last edited by werter

                                            @silh

                                            Удалите ваше правило форвардинга из 1-го поста. Тем более, что оно у вас неверное.

                                            Прaвильно (если машина с rdp внутри вашей лок. сети):

                                            Interface - WAN
                                            Protocol - TCP
                                            Source Address - *
                                            Source Ports - *
                                            Dest. Address - WAN address
                                            Dest. Ports - 3389 (MS RDP)
                                            NAT IP - <ip-адрес-машины-с-RDP-внутри-вашей-сети>
                                            NAT Ports - 3389 (MS RDP)

                                            У Вас машина с rdp где нах-ся? Вовне или в вашей сети? Если в вашей сети, то на кой ляд вы проверяете доступ к этой машине из ЛАН обращаясь к ВАН пф? Проверяйте извне.
                                            И циску свою тормошите на предмет возможности форвардинга портов на ВАН вашего пф.

                                            Зы. Не забывайте, что по дефолту пф на ВАН блокирует все из "серых" сетей. Возможно, что в вашем случае надо откл. эту блокировку.

                                            Зы2. Скрины правил fw на ЛАН, ВАН покажите.

                                            Зы3. И да. Оч. глупо выставлять в мир RDP-порт ничем не прекрывшись. ВПН в этом случае решает.

                                            S 1 Reply Last reply Reply Quote 0
                                            • S
                                              silh @werter last edited by silh

                                              @werter
                                              В первом посте я конкретно описала задачу: я из локальной сети хочу подключиться к машине по RDP, находящейся в интернете, не знаю, что еще надо сказать, чтобы точнее описать ситуацию.
                                              Вот схема
                                              alt text

                                              В общем поднял дома чистый ПФ. Создал аналогичное правило НАТ - заработало! Дома копеешный роутер Asus.
                                              Видимо дело и правда в циске, но вот что не пускает обратные пакеты понять пока не могу - IP пфсенса добавлен в access-list роутера

                                              Extended IP access list 150
                                              110 permit ip host 192.168.1.10 any (22131 matches)

                                              создано правило nat
                                              ip nat inside source list 150 interface Dialer1 overload

                                              Но это наверное уже не в этот форум )
                                              Хотя если есть знакомые с циской товарищи, буду рад услышать какие-нибудь комментарии.!

                                              upd. Обновил схему сети

                                              K 1 Reply Last reply Reply Quote 0
                                              • K
                                                Konstanti @silh last edited by Konstanti

                                                @silh said in Проброс порта из LAN в WAN:

                                                Extended IP access list 150
                                                110 permit ip host 192.168.1.10 any (22131 matches)

                                                Здр
                                                Судя по тому , что Вы показали выше (вывод tcpdump на WAN интерфейсе)
                                                то пакеты с PF уходят в стоону с ip адресом 192.168.0.149
                                                попробуйте добавить на cisco , ради интереса
                                                Extended IP access list 150
                                                115 permit ip 192.168.0.0 0.0.0.255 any

                                                и проверьте таблицу маршрутизации cisco ( знает ли она , что сеть 192.168.0.0/24 находится за pfsense ? )

                                                S 1 Reply Last reply Reply Quote 0
                                                • S
                                                  silh @Konstanti last edited by

                                                  @Konstanti
                                                  прямой доступ машины через циску тоже есть
                                                  90 permit ip host 192.168.0.149 any

                                                  Может быть обратный пакет заворачивается сразу на локальную машину через шлюз 192.168.0.1?

                                                  Но опять же, есть Usergate в сети. У него тоже внешний IP в подсети 192.168.1.0, внутренний в 192.168.0.0 (на схеме можно поставить его просто вместо pf) - через него то NAT работает.

                                                  K 1 Reply Last reply Reply Quote 0
                                                  • K
                                                    Konstanti @silh last edited by Konstanti

                                                    @silh
                                                    Покажите таблицу маршрутизации Cisco
                                                    и правила NAT Outbound PFsense
                                                    Судя по схеме , которую Вы нарисовали , у Вас ассиметричная маршрутизация

                                                    S 1 Reply Last reply Reply Quote 0
                                                    • S
                                                      silh @Konstanti last edited by silh

                                                      @Konstanti
                                                      Gateway of last resort is 0.0.0.0 to network 0.0.0.0
                                                      C 192.168.240.0/24 is directly connected, Vlan3
                                                      172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
                                                      S 172.16.13.16/30 [1/0] via 172.16.13.21
                                                      C 172.16.13.20/30 is directly connected, FastEthernet1
                                                      C 172.16.13.0/28 is directly connected, FastEthernet1
                                                      S 192.168.4.0/24 [1/0] via 172.16.13.4
                                                      xxx.xxx.0.0/32 is subnetted, 1 subnets
                                                      C xxx.xxx.xxx.xxx is directly connected, Dialer1
                                                      92.0.0.0/32 is subnetted, 1 subnets
                                                      C xxx.xx.xx.xx is directly connected, Dialer1
                                                      S 192.168.5.0/24 [1/0] via 172.16.13.5
                                                      10.0.0.0/24 is subnetted, 1 subnets
                                                      C 10.10.10.0 is directly connected, Loopback99
                                                      S 192.168.6.0/24 [1/0] via 172.16.13.6
                                                      S 192.168.7.0/24 [1/0] via 172.16.13.7
                                                      C 192.168.0.0/24 is directly connected, Vlan1
                                                      C 192.168.1.0/24 is directly connected, Vlan2
                                                      S 192.168.3.0/24 [1/0] via 172.16.13.3
                                                      S* 0.0.0.0/0 is directly connected, Dialer1

                                                      Правил Outbound на pf нет

                                                      K 1 Reply Last reply Reply Quote 0
                                                      • K
                                                        Konstanti @silh last edited by Konstanti

                                                        @silh
                                                        Вы сами ответили на все вопросы
                                                        1 C 192.168.0.0/24 is directly connected, Vlan1
                                                        2 Cisco пытается напрямую отправить пакет хосту - результат , ассиметричная маршрутизация
                                                        3 создайте правило Исходящего нат на интерфейсе WAN PF для хоста 149 , и будет Вам счастье

                                                        S 1 Reply Last reply Reply Quote 0
                                                        • S
                                                          silh @Konstanti last edited by

                                                          @Konstanti
                                                          Какого вида должно быть правило? Поможет ли оно, если обратные пакеты до этого WAN PF даже не доходят?

                                                          K 1 Reply Last reply Reply Quote 0
                                                          • K
                                                            Konstanti @silh last edited by Konstanti

                                                            @silh
                                                            Причину, почему пакеты не доходят, я Вам указал выше

                                                            7cb32fdf-f256-4329-b594-343e31e7330f-image.png

                                                            S 1 Reply Last reply Reply Quote 0
                                                            • S
                                                              silh @Konstanti last edited by

                                                              @Konstanti
                                                              Заработало!
                                                              Объясните, если не сложно, в чём суть правила Outbound?

                                                              1 Reply Last reply Reply Quote 0
                                                              • werter
                                                                werter last edited by werter

                                                                Добрый.
                                                                @silh

                                                                Схема вашей сети просто "шикарна"(

                                                                У вас только один ПК и к циске и к пф подключен одновременно? Или такие же чудеса со всей ЛАН?
                                                                Вы уж определитесь КАК должна работать вверенная вам сеть.

                                                                Зы. Вам бы подошел вариант, когда все ppp-линки поднимает пф , а циска отвечает только за ВЛАНы (т.е. работает как Л2-свитч).

                                                                S 1 Reply Last reply Reply Quote 0
                                                                • S
                                                                  silh @werter last edited by

                                                                  @werter
                                                                  Никаких чудес нет.
                                                                  Пф был запущен на недавно и играет роль только прокси сервера со статистикой, в полутестовом режиме, так сказать.
                                                                  Как пойдет дальше, покажет время. Спасибо за рекомендации.

                                                                  1 Reply Last reply Reply Quote 0
                                                                  • werter
                                                                    werter last edited by

                                                                    linkmeup.gitbook.io/sdsm/
                                                                    Пользую сам и всем причастным рекомендую.

                                                                    1 Reply Last reply Reply Quote 1
                                                                    • First post
                                                                      Last post