• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Port forwarding HTTP/HTTPS from WAN2 to VLAN

Scheduled Pinned Locked Moved Russian
25 Posts 4 Posters 3.6k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • P
    PTZ-M
    last edited by PTZ-M Jan 18, 2022, 9:09 AM Jan 18, 2022, 9:02 AM

    Просьба не кидаться сразу тапками. Банально завис на простейшей задаче.

    Есть MultiWAN, на WAN 2 с "белым" IP делаю проброс порта 80 и 443 на VLAN 100 (с именем WEB) висящий за pfsense.
    VLAN 100 прекрасно живёт на маршрутизаторе HP и интернет доступен (стоит группа шлюзов, но пинг на 8.8.8.8 с WAN2 через интерфейс pfsense уходит, т.ч. канал в норме). Но вот попасть на этот сервак с мира через WAN2 по портам 80 и 443 - не получается. Сам сервак в VLAN 100 отвечает АРМ находящимся в VLAN 100 по портам 80 и 443.

    В NAT пишу:
    Интерфейс: WAN2
    Протокол: TCP
    Назначение: WEB address
    Диапазон портов: http
    Целевой IP: 172.31.1.100
    Целевой порт: http
    Остальное по дефолту.

    Менял 80 на другой входящий - бестолку.

    P 1 Reply Last reply Jan 18, 2022, 10:35 AM Reply Quote 0
    • P
      PTZ-M @PTZ-M
      last edited by PTZ-M Jan 18, 2022, 11:34 AM Jan 18, 2022, 10:35 AM

      @ptz-m
      тьфу ты, случайно ответ нашёл на reddit надо было в Назначение и указать WAN2

      Вопрос закрыт.

      P 1 Reply Last reply Jan 20, 2022, 7:54 AM Reply Quote 0
      • P
        PTZ-M @PTZ-M
        last edited by Jan 20, 2022, 7:54 AM

        Открываю обсуждение, появился дополнительный нюанс - надо протолкнуть трафик не просто с мира, а завернуть ещё и с локалки.
        Т.е. при запросе портов 80 и 443 из LAN на внешний IP назначенный WAN 2 ответ уходил не на вебинтерфейс pfsense, а на целевой IP сервера 172.31.1.100.

        P 1 Reply Last reply Jan 20, 2022, 8:08 AM Reply Quote 0
        • P
          pigbrother @PTZ-M
          last edited by Jan 20, 2022, 8:08 AM

          @ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

          а на целевой IP сервера 172.31.1.100.

          Это адрес в LAN? Тогда split DNS или NAT Reflection mode for port forwards

          P 1 Reply Last reply Jan 20, 2022, 8:17 AM Reply Quote 0
          • P
            PTZ-M @pigbrother
            last edited by PTZ-M Jan 20, 2022, 8:25 AM Jan 20, 2022, 8:17 AM

            @pigbrother IP 172.31.1.100 находится в VLAN 100, и мне надо на него зайти из LAN-а НО! обращаясь на IP который присвоен WAN 2. Т.е. грубо говоря отправить пакет в мир, где он завернётся мне назад самим PFSense, что-то вроде loopback (ну как бы да NAT Reflection).

            Не могу сообразить, что за правило надо в NAT прописать.

            P 1 Reply Last reply Jan 20, 2022, 8:26 AM Reply Quote 0
            • P
              pigbrother @PTZ-M
              last edited by Jan 20, 2022, 8:26 AM

              @ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

              находится в VLAN 100,

              Это не важно. Для PF это просто интерфейс. Правило доступа с LAN к 172.31.1.100:80 и 172.31.1.100:443 есть?
              DNS используется в PF?

              Тут
              https://docs.netgate.com/pfsense/en/latest/nat/reflection.html
              оба способа, о которых писал выше.

              Для способа c DNS ключевые слова
              DNS Resolver/Forwarder Overrides

              P 1 Reply Last reply Jan 20, 2022, 8:40 AM Reply Quote 0
              • P
                PTZ-M @pigbrother
                last edited by Jan 20, 2022, 8:40 AM

                @pigbrother Правило доступа с LAN к 172.31.1.100:80 и 172.31.1.100:443 отсутствует, максимально изолировать хотелось ту машину.
                DNS Forwarder и DDNS (уже не помню зачем) только работают.

                P 1 Reply Last reply Jan 20, 2022, 9:15 AM Reply Quote 0
                • P
                  pigbrother @PTZ-M
                  last edited by pigbrother Jan 20, 2022, 9:28 AM Jan 20, 2022, 9:15 AM

                  @ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                  Правило доступа с LAN к 172.31.1.100:80 и 172.31.1.100:443 отсутствует

                  Тогда из LAN к этому хосту доступа со splt DNS по не будет. Ни по IP, ни по имени.

                  Пробуйте NAT Reflection.

                  System-Advanced-Firewall & NAT
                  отметить
                  NAT Reflection mode for port forwards

                  P 1 Reply Last reply Jan 20, 2022, 3:19 PM Reply Quote 0
                  • P
                    PTZ-M @pigbrother
                    last edited by Jan 20, 2022, 3:19 PM

                    @pigbrother
                    Включил: Pure NAT, NAT Reflection for 1:1 NAT, automatic outbound NAT for Reflection - теперь страница PFSense не грузиться, но и порты нужные мне недоступны.
                    Проброс портов из LAN вместе с NAT Reflection ещё надо сделать?

                    P 2 Replies Last reply Jan 20, 2022, 6:05 PM Reply Quote 0
                    • P
                      pigbrother @PTZ-M
                      last edited by Jan 20, 2022, 6:05 PM

                      This post is deleted!
                      1 Reply Last reply Reply Quote 0
                      • P
                        pigbrother @PTZ-M
                        last edited by pigbrother Jan 20, 2022, 6:48 PM Jan 20, 2022, 6:29 PM

                        @ptz-m Когда пользовался - включал только
                        NAT Reflection mode for port forwards - NAT+proxy
                        Enable NAT Reflection for 1:1 NAT - не включал

                        @ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                        Проброс портов из LAN вместе с NAT Reflection ещё надо сделать?

                        Нет. Работало и без этого.

                        Примечание. У меня проброс был сделан в DMZ. Но разницы быть не должно, что VLAN, что DMZ - это просто интерфейсы.

                        P 1 Reply Last reply Jan 21, 2022, 6:19 AM Reply Quote 1
                        • P
                          PTZ-M @pigbrother
                          last edited by Jan 21, 2022, 6:19 AM

                          @pigbrother said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                          Работало и без этого.

                          Сработало :-) Даже при том что я указал "блокировать" в правилах для интерфейса WEB (VLAN 100) на доступ к LAN, и использование дефолтного шлюза (чтобы нельзя было ломанув сервак пробиться куда-то ещё, или ботнет подсадить). Косяков пока не выявлено, т.ч. снова закрываю вопрос.

                          P 1 Reply Last reply Jan 24, 2022, 6:46 AM Reply Quote 0
                          • P
                            PTZ-M @PTZ-M
                            last edited by PTZ-M Jan 24, 2022, 7:31 AM Jan 24, 2022, 6:46 AM

                            @ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                            Косяков пока не выявлено

                            Упс, выявился жёсткий косяк - отвалился SIP (нет самой регистрации на станции, показывает, что номер в дауне), который коннектился из VLAN 10 (Wi-Fi) на Asterisk в LAN адресуясь через внешний IP на WAN1 (что-бы можно было бесшовно переходить на мобильный канал, когда вафля вне зоны действия смартфона). При этом аналогичная схема с видеонаблюдением работает. Похоже трафик UDP дропается; не похоже на дроп диапазона для RTP, поскольку там звонок бы просто срывался.

                            P P 2 Replies Last reply Jan 24, 2022, 8:29 AM Reply Quote 0
                            • P
                              pigbrother @PTZ-M
                              last edited by Jan 24, 2022, 8:29 AM

                              @ptz-m "Правильный" способ, все же - split DNS.

                              @ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                              максимально изолировать хотелось ту машину.

                              Однако при split DNS придется разрешать доступ к нужным хостам в VLAN100 из LAN. Можно только по нужным портам

                              P 1 Reply Last reply Jan 25, 2022, 6:25 AM Reply Quote 0
                              • P
                                PTZ-M @pigbrother
                                last edited by Jan 25, 2022, 6:25 AM

                                @pigbrother said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                                split DNS

                                В моём случае трогать всё что, касается DNS - категорически не рекомендуется. Только "гвоздями прибивать".

                                1 Reply Last reply Reply Quote 0
                                • P
                                  PTZ-M @PTZ-M
                                  last edited by May 31, 2022, 7:51 AM

                                  @ptz-m said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                                  Упс, выявился жёсткий косяк - отвалился SIP (нет самой регистрации на станции, показывает, что номер в дауне), который коннектился из VLAN 10 (Wi-Fi) на Asterisk в LAN адресуясь через внешний IP на WAN1 (что-бы можно было бесшовно переходить на мобильный канал, когда вафля вне зоны действия смартфона). При этом аналогичная схема с видеонаблюдением работает. Похоже трафик UDP дропается; не похоже на дроп диапазона для RTP, поскольку там звонок бы просто срывался.

                                  Проблема с отвалом SIP при глобальном "отражение NAT" в режиме NAT + Proxy cтала весьма ощутимо мешать.

                                  Попробовал в NAT (для проброса порта 5060 из WiFi) менять настройки отражения NAT - нет никаких изменений поведения). Если вбивать локальный IP, то всё так и работает из под VLAN 10 (Wi-Fi); с мира то же нет проблем с коннектом при вводе IP от WAN1; а вот через VLAN 10 (Wi-Fi) так и не может подцепиться.

                                  Примерная схема, которая работала до начала изменений в NAT, в здании офиса:
                                  сотовый -> SIP-модуль -> VLAN 10 (Wi-Fi) -> PfSense -> WAN1 IP -> LAN -> Asterisk

                                  Примерная схема, которая работет до начала изменений в NAT и после, вне здания офиса:
                                  сотовый -> SIP-модуль -> мобильная сеть -> WAN1 -> PfSense -> LAN -> Asterisk

                                  Примерная схема, которая работает после изменений в NAT, в здании офиса:
                                  сотовый -> SIP-модуль -> VLAN 10 (Wi-Fi) -> PfSense -> LAN -> Asterisk

                                  Примерная схема, которой добивались изменяя NAT, в здании офиса:
                                  компьютер -> LAN -> PfSense -> WAN2 -> сервер

                                  Последние эксперименты проводил уже на 2.6.0.

                                  Любые мысли?

                                  K werterW 2 Replies Last reply May 31, 2022, 9:11 AM Reply Quote 0
                                  • K
                                    Konstanti @PTZ-M
                                    last edited by Konstanti May 31, 2022, 9:11 AM May 31, 2022, 9:11 AM

                                    @ptz-m

                                    Здр
                                    Мысль проста - начните анализ с простой диагностики
                                    Те - запустите tcpdump на PF , и посмотрите , что происходит на нужных Вам интерфейсах в момент соединения

                                    tcpdump -netti имя_интерфейса udp and port 5060

                                    если можно , покажите результат тут

                                    P 1 Reply Last reply Jun 1, 2022, 2:37 PM Reply Quote 0
                                    • werterW
                                      werter @PTZ-M
                                      last edited by Jun 1, 2022, 10:13 AM

                                      Добрый
                                      @ptz-m
                                      С этим сравнивали?
                                      https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-phones.html
                                      https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-pbx.html

                                      Используя ссылки выше никогда не имел проблем с voip+nat.
                                      Кроме случаев, когда у клиентов есть роутер с sip helper (из последнего был микротик). Отключение sip helper решило проблему с sip.

                                      P 1 Reply Last reply Jun 1, 2022, 2:41 PM Reply Quote 0
                                      • P
                                        PTZ-M @Konstanti
                                        last edited by Jun 1, 2022, 2:37 PM

                                        @konstanti извечный вопрос - где смотреть и что искать? В VLAN 10 (Wi-Fi)?
                                        Выше я писал, что видеонаблюдение приложения iVMS-4500 в такой же ситуации (VLAN 10 (Wi-Fi) -> WAN1 IP) работает, т.е. пакеты прекрасно ходят. А в Asterisk даже регистрация линии не проходит при таких же настройках проброса порта в NAT.

                                        K 1 Reply Last reply Jun 1, 2022, 8:09 PM Reply Quote 0
                                        • P
                                          PTZ-M @werter
                                          last edited by Jun 1, 2022, 2:41 PM

                                          @werter said in Port forwarding HTTP/HTTPS from WAN2 to VLAN:

                                          С этим сравнивали?
                                          https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-phones.html
                                          https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-pbx.html

                                          Там вода для чайников. Надо копать в сторону настроек NAT 😞

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            This community forum collects and processes your personal information.
                                            consent.not_received