Доступ с WAN в LAN в обход NAT



  • Всем привет! помогите понять куда копать с вот такой проблемой:
    В связи с коронавирусной инфекцией по всему миру, у нас тоже все переходят на удаленную работу. В головном филиале у нас создали VRF и дали доступ в WAN.
    Схема сети такая. Есть WAN 217.196.. интернет и LAN 192.168.100.0\24, также имеется Openvpn на 192.168.150.0/24.
    В данный момент мы подключаемся по Openvpn для удаленной работы, но нужно что бы работало по VRF .
    У них в головном офисе поднят другой VPN клиент который работает дает пользователям IP на 10.10.0.0/20. C этих IP в данный момент наша локальная сеть пингуется. Но при подключении с этой сети на нашу локальную сеть соединение блокируется фаерволом. NAT переключен в режим Hybrid Outbound NAT rule generation. Прописаны правила на отключение NAT на с WAN на LAN именно на сети VRF.

                 Interface	Source	Source Port	Destination	Destination Port	NAT Address	NAT Port	Static Port	Description	Actions
    
      	WAN	192.168.100.0/24	*	10.10.0.0/20	*	NO NAT	***			
    

    Прописаны также Floating правила в указал там WAN и LAN. Такие же настройки ставил и в WAN и LAN правилах разницы нет. Все равно блокирует фаервол.

    	States	Protocol	Source	        Port	  Destination	Port	Gateway	Queue	Schedule	Description	Actions
    	0 /0 B
                    IPv4 TCP/UDP	   10.10.0.0/20	      *   192.168.100.0/24	*	*	none	 		    
    	0 /0 B
                    IPv4 TCP/UDP	192.168.100.0/24	*  10.10.0.0/20	*	*	none	 		
    

    Если отключить фаервол, то наша внутренная сеть 192.168.100.0/24 с подсети 10.10.0.0/20 видна и можно зайти удаленный рабочим столом. Но заодно отключается NAT и отключается инет у пользователей.
    Куда копать и почему это не работает.
    Кстати я уже отключал Block private networks and loopback addresses в настройках WAN так что дело не в этом.



  • @Zholerlan

    VRF на чем поднят? Или Вы так пф обозвали?

    Прописаны правила на отключение NAT на с WAN на LAN именно на сети VRF.

    А чего на ВАН-то? И зачем?

    Прописаны также Floating правила в указал там WAN и LAN.

    Не трогайте Флоатинг вообще. Пользуйте правила на конкретных интерфейсах.

    Рисуйте схему с адресацией.



  • @Zholerlan Здр
    Покажите правила на lan и wan интерфейсах.
    Покажите таблицу маршрутизации PFSense.
    Floating rules не трогайте пока , они тут непричем.
    Насколько я понял написанное , исходящий NAT (то правило , которые Вы показываете ) Вам тут особо не нужен . У Вас же идет попытка соединения через WAN интерфейс к хостам , которые находятся за LAN интерфейсом ???

    Пока не совсем понимаю , как связаны между собой физически WAN (217.196.) и 10.10.0.0/20



  • @Zholerlan
    Схему сети в студию.



  • @werter said in Доступ с WAN в LAN в обход NAT:

    @Zholerlan

    VRF на чем поднят? Или Вы так пф обозвали?

    Прописаны правила на отключение NAT на с WAN на LAN именно на сети VRF.

    А чего на ВАН-то? И зачем?

    Прописаны также Floating правила в указал там WAN и LAN.

    Не трогайте Флоатинг вообще. Пользуйте правила на конкретных интерфейсах.

    Рисуйте схему с адресацией.

    VRF поднят на коммутаторах Cisco силами провайдера.
    правила на WAN интерфейсе идентичен floating правилам.

    Насколько я понял написанное , исходящий NAT (то правило , которые Вы показываете ) Вам тут особо не нужен . У Вас же идет попытка соединения через WAN интерфейс к хостам , которые находятся за LAN интерфейсом ???

    так точно идет попытка доступа к хостам через WAN

    Пока не совсем понимаю , как связаны между собой физически WAN (217.196..) и 10.10.0.0/20

    10.10.0.0/20 стоит за wan интерфейсом. Как они сделали это вопрос к сетевикам нашим. После выходных надо спросить)))

    WAN rules

    Outbound NAT



  • @Zholerlan
    Немного не то выложили
    Мне нужно посмотреть на все правила , которые настроены на интерфейсе WAN и LAN (общая картинка)
    Firewall/Rules/WAN
    Firewall/Rules/LAN
    и таблица маршрутизации нужна PFSense



  • @Konstanti said in Доступ с WAN в LAN в обход NAT:

    @Zholerlan
    Немного не то выложили
    Мне нужно посмотреть на все правила , которые настроены на интерфейсе WAN и LAN (общая картинка)
    Firewall/Rules/WAN
    Firewall/Rules/LAN
    и таблица маршрутизации нужна PFSense

    Таблица маршрутизации
    все что закрашено цифры одинаковые

    Wan rules
    Lan rules



  • @Zholerlan
    Доброе утро
    Floating Rules отключены/удалены ????
    По картинке Wan rules видно, что правило 1 не работает
    Имейте в виду , что при таких настройках пинги не должны ходить

    Правило 2 не нужно (WAN Rules)

    Включайте Packet Capture (tcpdump) на WAN и LAN интерфейсах , и смотрите ( покажите) , что происходит в момент установления соединения 10.10.0.0/20-> 192.168.100.0\24



  • @Konstanti said in Доступ с WAN в LAN в обход NAT:

    @Zholerlan
    Доброе утро
    Floating Rules отключены/удалены ????
    По картинке Wan rules видно, что правило 1 не работает
    Имейте в виду , что при таких настройках пинги не должны ходить

    Правило 2 не нужно (WAN Rules)

    Включайте Packet Capture (tcpdump) на WAN и LAN интерфейсах , и смотрите ( покажите) , что происходит в момент установления соединения 10.10.0.0/20-> 192.168.100.0\24

    Доброго дня
    Floating Rules отключены
    Правило 2 в WAN отключил
    Скриншот Tcpdump при попытке зайти по удаленному рабочему столу с 10.10.11.182 в 192.168.100.*
    Tcpdump



  • @Zholerlan
    Вот что я вижу

    1. Интерфейс LAN ( нужен еще и интерфейс WAN для полноты картины )
    2. Пакеты SYN от хоста 10.10.11.182 к хосту 192.168.100.57 идут
    3. Хост 192.168.100.57 отвечает 10.10.11.182 (SYN,ACK)
      На этом все заканчивается
      Что надо сделать
      tcpdump на WAN интерфейсе нужно увидеть
      Надо понять , уходят ли пакеты в сторону 10.10.11.182. Если да , то в каком виде
      запустите tcpdump так
      tcpdump -netti bge0 tcp and port 3389
      И все станет понятно , что и как просиходит ( и происходит ли ) на WAN интерфейсе


  • @Konstanti said in Доступ с WAN в LAN в обход NAT:

    @Zholerlan
    Вот что я вижу

    1. Интерфейс LAN ( нужен еще и интерфейс WAN для полноты картины )
    2. Пакеты SYN от хоста 10.10.11.182 к хосту 192.168.100.57 идут
    3. Хост 192.168.100.57 отвечает 10.10.11.182 (SYN,ACK)
      На этом все заканчивается
      Что надо сделать
      tcpdump на WAN интерфейсе нужно увидеть
      Надо понять , уходят ли пакеты в сторону 10.10.11.182. Если да , то в каком виде
      запустите tcpdump так
      tcpdump -netti bge0 tcp and port 3389
      И все станет понятно , что и как просиходит ( и происходит ли ) на WAN интерфейсе

    на WAN пусто ничего нет.

    tcpdump -netti bge0 tcp and port 3389

    Пусто ничего не происходит.



  • @Zholerlan
    Такого не может быть
    Должны быть видны входящие пакеты от 10.10.11.182
    Или они через OpenVPN к Вам попадают ????



  • @Konstanti said in Доступ с WAN в LAN в обход NAT:

    @Zholerlan
    Такого не может быть
    Должны быть видны входящие пакеты от 10.10.11.182
    Или они через OpenVPN к Вам попадают ????

    нет OpenVPN к этой движухе не имеет никакого отношения. Надо спросить у сетевиков как вообще у них все происходит может они к LAN все подцепили...Странно.
    а прозрачный прокси можеть мешать прохождению пакетов?



  • @Zholerlan возможно есть еще 1 гейт ? тогда это объясняет , почему на лан интерфейсе видна только часть пакетов



  • В данный момент пинг к компьютерам в сетке 192.168.100.0/24 из 10.10.0.0/32 имеется и имелась до этого. может быть проблемы все таки связаны с NAT???

    Кстати проверил логи
    Firewall block



  • @Zholerlan
    Любопытно
    Если нажать на крестик ,то он покажет правило , которое срабатывает
    Покажите его пож

    и из консоли вывод команды
    pfctl -sr



  • @Konstanti said in Доступ с WAN в LAN в обход NAT:

    @Zholerlan
    Любопытно
    Если нажать на крестик ,то он покажет правило , которое срабатывает
    Покажите его пож

    и из консоли вывод команды
    pfctl -sr

    Блокировка
    У меня такого правила нет вообще в правилах с таким названием



  • @Zholerlan
    вывод команды
    pfctl -sr
    Покажите пож
    Желательно в виде текста , а не картинки



  • Все сразу скинуть не могу сайт NETGATE блочит, думает что я спамлю. Кидаю кусками
    Но походу я уже вижу Default deny rule IPv4 там снизу.

    scrub on bge0 all fragment reassemble
    scrub on bge1 all fragment reassemble
    anchor "relayd/" all
    anchor "openvpn/
    " all
    anchor "ipsec/*" all
    block drop in log quick inet from 169.----.0/16 to any label "Block IPv4 link-local"
    block drop in log quick inet from any to 169.-----.0/16 label "Block IPv4 link-local"
    block drop in log inet all label "Default deny rule IPv4"
    block drop out log inet all label "Default deny rule IPv4"
    block drop in log inet6 all label "Default deny rule IPv6"
    block drop out log inet6 all label "Default deny rule IPv6"
    pass quick inet6 proto ipv6-icmp all icmp6-type unreach keep state
    pass quick inet6 proto ipv6-icmp all icmp6-type toobig keep state
    pass quick inet6 proto ipv6-icmp all icmp6-type neighbrsol keep state
    pass quick inet6 proto ipv6-icmp all icmp6-type neighbradv keep state



  • @Zholerlan киньте мне на почту
    адрес есть в профиле
    а



  • Текстовый документ скинул на Google docs



  • @Zholerlan До конца не понимаю , почему так происходит
    Попробуйте в правиле (это интерфейс wan)

    pass in quick on bge0 reply-to (bge0 217.-----.129) inet proto tcp from 10.10.0.0/20 to 192.168.100.0/24 flags S/SA keep state label "USER_RULE"

    сделать так
    a855a529-616f-4e82-8c45-65df84d0e7d7-image.png

    тоже самое сделать в правиле (интерфейс lan)

    pass in quick on bge1 inet proto tcp from 192.168.100.0/24 to 10.10.0.0/20 flags S/SA keep state label "USER_RULE: Easy Rule: Passed from Firewall Log View"

    d481f78c-235c-4aab-90cb-dde3657b2eb2-image.png

    Я просто не понимаю , откуда в Вашей сети появляются пакеты от хоста 10.10.X.X. - и получается так , что входящий пакет не заносится в таблицу состояний .
    Как следствие , ответный пакет попадает под блок



  • Сетевики пока трубку не берут, выходные. Там я галочки пробовал ставить Any Flags, видел где то в форумах. Сейчас еще раз попробовал не работает все равно блокируется трафик.



  • @Zholerlan
    Ну и каша в правилах fw что на ВАН, что на ЛАН (
    Мой вам совет - на время теста оставьте по одному разрешающему все всем по всем протоколам правилу и на ВАН и на ЛАН. Иначе сами не поймете.



  • Кароче решил проблему, помог совет коллеги. Создал правило Floating указал там WAN и LAN, добавил галочку в TCP Flags. Отключил все правила в LAN Rules. Оставил правила в WAN rules и все заработало. Если кому нибудь нужно потом могу скрины настроек скинуть. Спасибо всем за все !



  • Так проблема оказалось немного сложнее чем я думал. Но в целом все решено надо было указать в том в floating правиле также state type none ,TCP Flags ANY и обязательно тип TCP или UDP. Тогда все работает. Если его нет то подключение RDP разрывается в течении 10 секунд. Это баг pfsense #1841 cудя по всему. Решение найдено также на этом форуме.


Log in to reply