Доступ с WAN в LAN в обход NAT

Zholerlan

Всем привет! помогите понять куда копать с вот такой проблемой:
В связи с коронавирусной инфекцией по всему миру, у нас тоже все переходят на удаленную работу. В головном филиале у нас создали VRF и дали доступ в WAN.
Схема сети такая. Есть WAN 217.196.. интернет и LAN 192.168.100.0\24, также имеется Openvpn на 192.168.150.0/24.
В данный момент мы подключаемся по Openvpn для удаленной работы, но нужно что бы работало по VRF .
У них в головном офисе поднят другой VPN клиент который работает дает пользователям IP на 10.10.0.0/20. C этих IP в данный момент наша локальная сеть пингуется. Но при подключении с этой сети на нашу локальную сеть соединение блокируется фаерволом. NAT переключен в режим Hybrid Outbound NAT rule generation. Прописаны правила на отключение NAT на с WAN на LAN именно на сети VRF.

             Interface	Source	Source Port	Destination	Destination Port	NAT Address	NAT Port	Static Port	Description	Actions

  	WAN	192.168.100.0/24	*	10.10.0.0/20	*	NO NAT	***

Прописаны также Floating правила в указал там WAN и LAN. Такие же настройки ставил и в WAN и LAN правилах разницы нет. Все равно блокирует фаервол.

	States	Protocol	Source	        Port	  Destination	Port	Gateway	Queue	Schedule	Description	Actions
	0 /0 B
                IPv4 TCP/UDP	   10.10.0.0/20	      *   192.168.100.0/24	*	*	none	 		    
	0 /0 B
                IPv4 TCP/UDP	192.168.100.0/24	*  10.10.0.0/20	*	*	none

Если отключить фаервол, то наша внутренная сеть 192.168.100.0/24 с подсети 10.10.0.0/20 видна и можно зайти удаленный рабочим столом. Но заодно отключается NAT и отключается инет у пользователей.
Куда копать и почему это не работает.
Кстати я уже отключал Block private networks and loopback addresses в настройках WAN так что дело не в этом.

werter

@Zholerlan

VRF на чем поднят? Или Вы так пф обозвали?

Прописаны правила на отключение NAT на с WAN на LAN именно на сети VRF.

А чего на ВАН-то? И зачем?

Прописаны также Floating правила в указал там WAN и LAN.

Не трогайте Флоатинг вообще. Пользуйте правила на конкретных интерфейсах.

Рисуйте схему с адресацией.

Konstanti

@Zholerlan Здр
Покажите правила на lan и wan интерфейсах.
Покажите таблицу маршрутизации PFSense.
Floating rules не трогайте пока , они тут непричем.
Насколько я понял написанное , исходящий NAT (то правило , которые Вы показываете ) Вам тут особо не нужен . У Вас же идет попытка соединения через WAN интерфейс к хостам , которые находятся за LAN интерфейсом ???

Пока не совсем понимаю , как связаны между собой физически WAN (217.196.) и 10.10.0.0/20

werter

@Zholerlan
Схему сети в студию.

Zholerlan

@werter said in Доступ с WAN в LAN в обход NAT:

@Zholerlan

VRF на чем поднят? Или Вы так пф обозвали?

Прописаны правила на отключение NAT на с WAN на LAN именно на сети VRF.

А чего на ВАН-то? И зачем?

Прописаны также Floating правила в указал там WAN и LAN.

Не трогайте Флоатинг вообще. Пользуйте правила на конкретных интерфейсах.

Рисуйте схему с адресацией.

VRF поднят на коммутаторах Cisco силами провайдера.
правила на WAN интерфейсе идентичен floating правилам.

Насколько я понял написанное , исходящий NAT (то правило , которые Вы показываете ) Вам тут особо не нужен . У Вас же идет попытка соединения через WAN интерфейс к хостам , которые находятся за LAN интерфейсом ???

так точно идет попытка доступа к хостам через WAN

Пока не совсем понимаю , как связаны между собой физически WAN (217.196..) и 10.10.0.0/20

10.10.0.0/20 стоит за wan интерфейсом. Как они сделали это вопрос к сетевикам нашим. После выходных надо спросить)))

WAN rules

Outbound NAT

Konstanti

@Zholerlan
Немного не то выложили
Мне нужно посмотреть на все правила , которые настроены на интерфейсе WAN и LAN (общая картинка)
Firewall/Rules/WAN
Firewall/Rules/LAN
и таблица маршрутизации нужна PFSense

Zholerlan

@Konstanti said in Доступ с WAN в LAN в обход NAT:

@Zholerlan
Немного не то выложили
Мне нужно посмотреть на все правила , которые настроены на интерфейсе WAN и LAN (общая картинка)
Firewall/Rules/WAN
Firewall/Rules/LAN
и таблица маршрутизации нужна PFSense

Таблица маршрутизации
все что закрашено цифры одинаковые

Wan rules
Lan rules

Konstanti

@Zholerlan
Доброе утро
Floating Rules отключены/удалены ????
По картинке Wan rules видно, что правило 1 не работает
Имейте в виду , что при таких настройках пинги не должны ходить

Правило 2 не нужно (WAN Rules)

Включайте Packet Capture (tcpdump) на WAN и LAN интерфейсах , и смотрите ( покажите) , что происходит в момент установления соединения 10.10.0.0/20-> 192.168.100.0\24

Zholerlan

@Konstanti said in Доступ с WAN в LAN в обход NAT:

@Zholerlan
Доброе утро
Floating Rules отключены/удалены ????
По картинке Wan rules видно, что правило 1 не работает
Имейте в виду , что при таких настройках пинги не должны ходить

Правило 2 не нужно (WAN Rules)

Включайте Packet Capture (tcpdump) на WAN и LAN интерфейсах , и смотрите ( покажите) , что происходит в момент установления соединения 10.10.0.0/20-> 192.168.100.0\24

Доброго дня
Floating Rules отключены
Правило 2 в WAN отключил
Скриншот Tcpdump при попытке зайти по удаленному рабочему столу с 10.10.11.182 в 192.168.100.*
Tcpdump

Konstanti

@Zholerlan
Вот что я вижу

Интерфейс LAN ( нужен еще и интерфейс WAN для полноты картины )
Пакеты SYN от хоста 10.10.11.182 к хосту 192.168.100.57 идут
Хост 192.168.100.57 отвечает 10.10.11.182 (SYN,ACK)
На этом все заканчивается
Что надо сделать
tcpdump на WAN интерфейсе нужно увидеть
Надо понять , уходят ли пакеты в сторону 10.10.11.182. Если да , то в каком виде
запустите tcpdump так
tcpdump -netti bge0 tcp and port 3389
И все станет понятно , что и как просиходит ( и происходит ли ) на WAN интерфейсе

Zholerlan

@Konstanti said in Доступ с WAN в LAN в обход NAT:

@Zholerlan
Вот что я вижу

Интерфейс LAN ( нужен еще и интерфейс WAN для полноты картины )

Пакеты SYN от хоста 10.10.11.182 к хосту 192.168.100.57 идут

Хост 192.168.100.57 отвечает 10.10.11.182 (SYN,ACK)
На этом все заканчивается
Что надо сделать
tcpdump на WAN интерфейсе нужно увидеть
Надо понять , уходят ли пакеты в сторону 10.10.11.182. Если да , то в каком виде
запустите tcpdump так
tcpdump -netti bge0 tcp and port 3389
И все станет понятно , что и как просиходит ( и происходит ли ) на WAN интерфейсе

на WAN пусто ничего нет.

tcpdump -netti bge0 tcp and port 3389

Пусто ничего не происходит.

Konstanti

@Zholerlan
Такого не может быть
Должны быть видны входящие пакеты от 10.10.11.182
Или они через OpenVPN к Вам попадают ????

Zholerlan

@Konstanti said in Доступ с WAN в LAN в обход NAT:

@Zholerlan
Такого не может быть
Должны быть видны входящие пакеты от 10.10.11.182
Или они через OpenVPN к Вам попадают ????

нет OpenVPN к этой движухе не имеет никакого отношения. Надо спросить у сетевиков как вообще у них все происходит может они к LAN все подцепили...Странно.
а прозрачный прокси можеть мешать прохождению пакетов?

Konstanti

@Zholerlan возможно есть еще 1 гейт ? тогда это объясняет , почему на лан интерфейсе видна только часть пакетов

Zholerlan

В данный момент пинг к компьютерам в сетке 192.168.100.0/24 из 10.10.0.0/32 имеется и имелась до этого. может быть проблемы все таки связаны с NAT???

Кстати проверил логи
Firewall block

Konstanti

@Zholerlan
Любопытно
Если нажать на крестик ,то он покажет правило , которое срабатывает
Покажите его пож

и из консоли вывод команды
pfctl -sr

Zholerlan

@Konstanti said in Доступ с WAN в LAN в обход NAT:

@Zholerlan
Любопытно
Если нажать на крестик ,то он покажет правило , которое срабатывает
Покажите его пож

и из консоли вывод команды
pfctl -sr

Блокировка
У меня такого правила нет вообще в правилах с таким названием

Konstanti

@Zholerlan
вывод команды
pfctl -sr
Покажите пож
Желательно в виде текста , а не картинки

Zholerlan

Все сразу скинуть не могу сайт NETGATE блочит, думает что я спамлю. Кидаю кусками
Но походу я уже вижу Default deny rule IPv4 там снизу.

scrub on bge0 all fragment reassemble
scrub on bge1 all fragment reassemble
anchor "relayd/" all
anchor "openvpn/" all
anchor "ipsec/*" all
block drop in log quick inet from 169.----.0/16 to any label "Block IPv4 link-local"
block drop in log quick inet from any to 169.-----.0/16 label "Block IPv4 link-local"
block drop in log inet all label "Default deny rule IPv4"
block drop out log inet all label "Default deny rule IPv4"
block drop in log inet6 all label "Default deny rule IPv6"
block drop out log inet6 all label "Default deny rule IPv6"
pass quick inet6 proto ipv6-icmp all icmp6-type unreach keep state
pass quick inet6 proto ipv6-icmp all icmp6-type toobig keep state
pass quick inet6 proto ipv6-icmp all icmp6-type neighbrsol keep state
pass quick inet6 proto ipv6-icmp all icmp6-type neighbradv keep state

Konstanti

@Zholerlan киньте мне на почту
адрес есть в профиле
а