Проброс порта из LAN в WAN
-
@Konstanti
прямой доступ машины через циску тоже есть
90 permit ip host 192.168.0.149 anyМожет быть обратный пакет заворачивается сразу на локальную машину через шлюз 192.168.0.1?
Но опять же, есть Usergate в сети. У него тоже внешний IP в подсети 192.168.1.0, внутренний в 192.168.0.0 (на схеме можно поставить его просто вместо pf) - через него то NAT работает.
-
@silh
Покажите таблицу маршрутизации Cisco
и правила NAT Outbound PFsense
Судя по схеме , которую Вы нарисовали , у Вас ассиметричная маршрутизация -
@Konstanti
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
C 192.168.240.0/24 is directly connected, Vlan3
172.16.0.0/16 is variably subnetted, 3 subnets, 2 masks
S 172.16.13.16/30 [1/0] via 172.16.13.21
C 172.16.13.20/30 is directly connected, FastEthernet1
C 172.16.13.0/28 is directly connected, FastEthernet1
S 192.168.4.0/24 [1/0] via 172.16.13.4
xxx.xxx.0.0/32 is subnetted, 1 subnets
C xxx.xxx.xxx.xxx is directly connected, Dialer1
92.0.0.0/32 is subnetted, 1 subnets
C xxx.xx.xx.xx is directly connected, Dialer1
S 192.168.5.0/24 [1/0] via 172.16.13.5
10.0.0.0/24 is subnetted, 1 subnets
C 10.10.10.0 is directly connected, Loopback99
S 192.168.6.0/24 [1/0] via 172.16.13.6
S 192.168.7.0/24 [1/0] via 172.16.13.7
C 192.168.0.0/24 is directly connected, Vlan1
C 192.168.1.0/24 is directly connected, Vlan2
S 192.168.3.0/24 [1/0] via 172.16.13.3
S* 0.0.0.0/0 is directly connected, Dialer1Правил Outbound на pf нет
-
@silh
Вы сами ответили на все вопросы
1 C 192.168.0.0/24 is directly connected, Vlan1
2 Cisco пытается напрямую отправить пакет хосту - результат , ассиметричная маршрутизация
3 создайте правило Исходящего нат на интерфейсе WAN PF для хоста 149 , и будет Вам счастье -
@Konstanti
Какого вида должно быть правило? Поможет ли оно, если обратные пакеты до этого WAN PF даже не доходят? -
@silh
Причину, почему пакеты не доходят, я Вам указал выше -
@Konstanti
Заработало!
Объясните, если не сложно, в чём суть правила Outbound? -
Добрый.
@silhСхема вашей сети просто "шикарна"(
У вас только один ПК и к циске и к пф подключен одновременно? Или такие же чудеса со всей ЛАН?
Вы уж определитесь КАК должна работать вверенная вам сеть.Зы. Вам бы подошел вариант, когда все ppp-линки поднимает пф , а циска отвечает только за ВЛАНы (т.е. работает как Л2-свитч).
-
@werter
Никаких чудес нет.
Пф был запущен на недавно и играет роль только прокси сервера со статистикой, в полутестовом режиме, так сказать.
Как пойдет дальше, покажет время. Спасибо за рекомендации. -
linkmeup.gitbook.io/sdsm/
Пользую сам и всем причастным рекомендую.