Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Доступ с WAN в LAN в обход NAT

    Scheduled Pinned Locked Moved Russian
    26 Posts 3 Posters 2.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Z
      Zholerlan
      last edited by Zholerlan

      Всем привет! помогите понять куда копать с вот такой проблемой:
      В связи с коронавирусной инфекцией по всему миру, у нас тоже все переходят на удаленную работу. В головном филиале у нас создали VRF и дали доступ в WAN.
      Схема сети такая. Есть WAN 217.196.. интернет и LAN 192.168.100.0\24, также имеется Openvpn на 192.168.150.0/24.
      В данный момент мы подключаемся по Openvpn для удаленной работы, но нужно что бы работало по VRF .
      У них в головном офисе поднят другой VPN клиент который работает дает пользователям IP на 10.10.0.0/20. C этих IP в данный момент наша локальная сеть пингуется. Но при подключении с этой сети на нашу локальную сеть соединение блокируется фаерволом. NAT переключен в режим Hybrid Outbound NAT rule generation. Прописаны правила на отключение NAT на с WAN на LAN именно на сети VRF.

                   Interface	Source	Source Port	Destination	Destination Port	NAT Address	NAT Port	Static Port	Description	Actions
      
        	WAN	192.168.100.0/24	*	10.10.0.0/20	*	NO NAT	***			
      

      Прописаны также Floating правила в указал там WAN и LAN. Такие же настройки ставил и в WAN и LAN правилах разницы нет. Все равно блокирует фаервол.

      	States	Protocol	Source	        Port	  Destination	Port	Gateway	Queue	Schedule	Description	Actions
      	0 /0 B
                      IPv4 TCP/UDP	   10.10.0.0/20	      *   192.168.100.0/24	*	*	none	 		    
      	0 /0 B
                      IPv4 TCP/UDP	192.168.100.0/24	*  10.10.0.0/20	*	*	none	 		
      

      Если отключить фаервол, то наша внутренная сеть 192.168.100.0/24 с подсети 10.10.0.0/20 видна и можно зайти удаленный рабочим столом. Но заодно отключается NAT и отключается инет у пользователей.
      Куда копать и почему это не работает.
      Кстати я уже отключал Block private networks and loopback addresses в настройках WAN так что дело не в этом.

      K 1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by werter

        @Zholerlan

        VRF на чем поднят? Или Вы так пф обозвали?

        Прописаны правила на отключение NAT на с WAN на LAN именно на сети VRF.

        А чего на ВАН-то? И зачем?

        Прописаны также Floating правила в указал там WAN и LAN.

        Не трогайте Флоатинг вообще. Пользуйте правила на конкретных интерфейсах.

        Рисуйте схему с адресацией.

        Z 1 Reply Last reply Reply Quote 0
        • K
          Konstanti @Zholerlan
          last edited by Konstanti

          @Zholerlan Здр
          Покажите правила на lan и wan интерфейсах.
          Покажите таблицу маршрутизации PFSense.
          Floating rules не трогайте пока , они тут непричем.
          Насколько я понял написанное , исходящий NAT (то правило , которые Вы показываете ) Вам тут особо не нужен . У Вас же идет попытка соединения через WAN интерфейс к хостам , которые находятся за LAN интерфейсом ???

          Пока не совсем понимаю , как связаны между собой физически WAN (217.196.) и 10.10.0.0/20

          1 Reply Last reply Reply Quote 1
          • werterW
            werter
            last edited by

            @Zholerlan
            Схему сети в студию.

            1 Reply Last reply Reply Quote 0
            • Z
              Zholerlan @werter
              last edited by Zholerlan

              @werter said in Доступ с WAN в LAN в обход NAT:

              @Zholerlan

              VRF на чем поднят? Или Вы так пф обозвали?

              Прописаны правила на отключение NAT на с WAN на LAN именно на сети VRF.

              А чего на ВАН-то? И зачем?

              Прописаны также Floating правила в указал там WAN и LAN.

              Не трогайте Флоатинг вообще. Пользуйте правила на конкретных интерфейсах.

              Рисуйте схему с адресацией.

              VRF поднят на коммутаторах Cisco силами провайдера.
              правила на WAN интерфейсе идентичен floating правилам.

              Насколько я понял написанное , исходящий NAT (то правило , которые Вы показываете ) Вам тут особо не нужен . У Вас же идет попытка соединения через WAN интерфейс к хостам , которые находятся за LAN интерфейсом ???

              так точно идет попытка доступа к хостам через WAN

              Пока не совсем понимаю , как связаны между собой физически WAN (217.196..) и 10.10.0.0/20

              10.10.0.0/20 стоит за wan интерфейсом. Как они сделали это вопрос к сетевикам нашим. После выходных надо спросить)))

              WAN rules

              Outbound NAT

              K 1 Reply Last reply Reply Quote 0
              • K
                Konstanti @Zholerlan
                last edited by

                @Zholerlan
                Немного не то выложили
                Мне нужно посмотреть на все правила , которые настроены на интерфейсе WAN и LAN (общая картинка)
                Firewall/Rules/WAN
                Firewall/Rules/LAN
                и таблица маршрутизации нужна PFSense

                Z 1 Reply Last reply Reply Quote 1
                • Z
                  Zholerlan @Konstanti
                  last edited by

                  @Konstanti said in Доступ с WAN в LAN в обход NAT:

                  @Zholerlan
                  Немного не то выложили
                  Мне нужно посмотреть на все правила , которые настроены на интерфейсе WAN и LAN (общая картинка)
                  Firewall/Rules/WAN
                  Firewall/Rules/LAN
                  и таблица маршрутизации нужна PFSense

                  Таблица маршрутизации
                  все что закрашено цифры одинаковые

                  Wan rules
                  Lan rules

                  K 1 Reply Last reply Reply Quote 0
                  • K
                    Konstanti @Zholerlan
                    last edited by

                    @Zholerlan
                    Доброе утро
                    Floating Rules отключены/удалены ????
                    По картинке Wan rules видно, что правило 1 не работает
                    Имейте в виду , что при таких настройках пинги не должны ходить

                    Правило 2 не нужно (WAN Rules)

                    Включайте Packet Capture (tcpdump) на WAN и LAN интерфейсах , и смотрите ( покажите) , что происходит в момент установления соединения 10.10.0.0/20-> 192.168.100.0\24

                    Z 1 Reply Last reply Reply Quote 1
                    • Z
                      Zholerlan @Konstanti
                      last edited by Zholerlan

                      @Konstanti said in Доступ с WAN в LAN в обход NAT:

                      @Zholerlan
                      Доброе утро
                      Floating Rules отключены/удалены ????
                      По картинке Wan rules видно, что правило 1 не работает
                      Имейте в виду , что при таких настройках пинги не должны ходить

                      Правило 2 не нужно (WAN Rules)

                      Включайте Packet Capture (tcpdump) на WAN и LAN интерфейсах , и смотрите ( покажите) , что происходит в момент установления соединения 10.10.0.0/20-> 192.168.100.0\24

                      Доброго дня
                      Floating Rules отключены
                      Правило 2 в WAN отключил
                      Скриншот Tcpdump при попытке зайти по удаленному рабочему столу с 10.10.11.182 в 192.168.100.*
                      Tcpdump

                      K 1 Reply Last reply Reply Quote 0
                      • K
                        Konstanti @Zholerlan
                        last edited by Konstanti

                        @Zholerlan
                        Вот что я вижу

                        1. Интерфейс LAN ( нужен еще и интерфейс WAN для полноты картины )
                        2. Пакеты SYN от хоста 10.10.11.182 к хосту 192.168.100.57 идут
                        3. Хост 192.168.100.57 отвечает 10.10.11.182 (SYN,ACK)
                          На этом все заканчивается
                          Что надо сделать
                          tcpdump на WAN интерфейсе нужно увидеть
                          Надо понять , уходят ли пакеты в сторону 10.10.11.182. Если да , то в каком виде
                          запустите tcpdump так
                          tcpdump -netti bge0 tcp and port 3389
                          И все станет понятно , что и как просиходит ( и происходит ли ) на WAN интерфейсе
                        Z 1 Reply Last reply Reply Quote 1
                        • Z
                          Zholerlan @Konstanti
                          last edited by

                          @Konstanti said in Доступ с WAN в LAN в обход NAT:

                          @Zholerlan
                          Вот что я вижу

                          1. Интерфейс LAN ( нужен еще и интерфейс WAN для полноты картины )
                          2. Пакеты SYN от хоста 10.10.11.182 к хосту 192.168.100.57 идут
                          3. Хост 192.168.100.57 отвечает 10.10.11.182 (SYN,ACK)
                            На этом все заканчивается
                            Что надо сделать
                            tcpdump на WAN интерфейсе нужно увидеть
                            Надо понять , уходят ли пакеты в сторону 10.10.11.182. Если да , то в каком виде
                            запустите tcpdump так
                            tcpdump -netti bge0 tcp and port 3389
                            И все станет понятно , что и как просиходит ( и происходит ли ) на WAN интерфейсе

                          на WAN пусто ничего нет.

                          tcpdump -netti bge0 tcp and port 3389

                          Пусто ничего не происходит.

                          K 1 Reply Last reply Reply Quote 0
                          • K
                            Konstanti @Zholerlan
                            last edited by

                            @Zholerlan
                            Такого не может быть
                            Должны быть видны входящие пакеты от 10.10.11.182
                            Или они через OpenVPN к Вам попадают ????

                            Z 1 Reply Last reply Reply Quote 1
                            • Z
                              Zholerlan @Konstanti
                              last edited by Zholerlan

                              @Konstanti said in Доступ с WAN в LAN в обход NAT:

                              @Zholerlan
                              Такого не может быть
                              Должны быть видны входящие пакеты от 10.10.11.182
                              Или они через OpenVPN к Вам попадают ????

                              нет OpenVPN к этой движухе не имеет никакого отношения. Надо спросить у сетевиков как вообще у них все происходит может они к LAN все подцепили...Странно.
                              а прозрачный прокси можеть мешать прохождению пакетов?

                              K 1 Reply Last reply Reply Quote 0
                              • K
                                Konstanti @Zholerlan
                                last edited by

                                @Zholerlan возможно есть еще 1 гейт ? тогда это объясняет , почему на лан интерфейсе видна только часть пакетов

                                1 Reply Last reply Reply Quote 0
                                • Z
                                  Zholerlan
                                  last edited by Zholerlan

                                  В данный момент пинг к компьютерам в сетке 192.168.100.0/24 из 10.10.0.0/32 имеется и имелась до этого. может быть проблемы все таки связаны с NAT???

                                  Кстати проверил логи
                                  Firewall block

                                  K 1 Reply Last reply Reply Quote 0
                                  • K
                                    Konstanti @Zholerlan
                                    last edited by Konstanti

                                    @Zholerlan
                                    Любопытно
                                    Если нажать на крестик ,то он покажет правило , которое срабатывает
                                    Покажите его пож

                                    и из консоли вывод команды
                                    pfctl -sr

                                    Z 1 Reply Last reply Reply Quote 1
                                    • Z
                                      Zholerlan @Konstanti
                                      last edited by Zholerlan

                                      @Konstanti said in Доступ с WAN в LAN в обход NAT:

                                      @Zholerlan
                                      Любопытно
                                      Если нажать на крестик ,то он покажет правило , которое срабатывает
                                      Покажите его пож

                                      и из консоли вывод команды
                                      pfctl -sr

                                      Блокировка
                                      У меня такого правила нет вообще в правилах с таким названием

                                      K 1 Reply Last reply Reply Quote 0
                                      • K
                                        Konstanti @Zholerlan
                                        last edited by

                                        @Zholerlan
                                        вывод команды
                                        pfctl -sr
                                        Покажите пож
                                        Желательно в виде текста , а не картинки

                                        1 Reply Last reply Reply Quote 1
                                        • Z
                                          Zholerlan
                                          last edited by Zholerlan

                                          Все сразу скинуть не могу сайт NETGATE блочит, думает что я спамлю. Кидаю кусками
                                          Но походу я уже вижу Default deny rule IPv4 там снизу.

                                          scrub on bge0 all fragment reassemble
                                          scrub on bge1 all fragment reassemble
                                          anchor "relayd/" all
                                          anchor "openvpn/
                                          " all
                                          anchor "ipsec/*" all
                                          block drop in log quick inet from 169.----.0/16 to any label "Block IPv4 link-local"
                                          block drop in log quick inet from any to 169.-----.0/16 label "Block IPv4 link-local"
                                          block drop in log inet all label "Default deny rule IPv4"
                                          block drop out log inet all label "Default deny rule IPv4"
                                          block drop in log inet6 all label "Default deny rule IPv6"
                                          block drop out log inet6 all label "Default deny rule IPv6"
                                          pass quick inet6 proto ipv6-icmp all icmp6-type unreach keep state
                                          pass quick inet6 proto ipv6-icmp all icmp6-type toobig keep state
                                          pass quick inet6 proto ipv6-icmp all icmp6-type neighbrsol keep state
                                          pass quick inet6 proto ipv6-icmp all icmp6-type neighbradv keep state

                                          K 1 Reply Last reply Reply Quote 0
                                          • K
                                            Konstanti @Zholerlan
                                            last edited by

                                            @Zholerlan киньте мне на почту
                                            адрес есть в профиле
                                            а

                                            1 Reply Last reply Reply Quote 1
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.