две lan и проброс портов
-
Добрый день! уже три года использую pfsense все очень нравится….........
Но встала такая проблема, необходимо организовать две подсети для двух разных организаций на pfsense, с доступом разобрался, между двумя сетями пакеты не ходят, доступ в интернет через прозрачный прокси. Все было нормально до тех пор пока не понадобилось на комп второй подсети (которая на opt интерфесе) пробросить rdp порт, все делаю как и в первой подсети, но не работает.
на форуме таких проблем не возникало, что может быть??? -
NAT включен для для opt интерфейса?
-
да, на вкладке outbound выбрано Manual Outbound NAT rule generation (Advanced Outbound NAT (AON)) и для opt прописано правило как для lan
-
Firewall->NAT->Port Forward скриншот дайте, и Firewall->Rules->WAN заодно
-
пробрасываю порт 7875 на 192.168.3.100, последнее правило
-
А случаем в правиле которое на WAN Rules гайтвей на вторую Лан указать не нужно? Сразу скажу не делал - так предположение.
-
так в правилах, в gateway можно выбрать только ip основного шлюза
-
2dvserg
нет, и так должно работать2lhassa
вы зря пренебрегаете автоматической генерацией правил файрвола при пробросе порта..
ставьте в destination 192.168.3.100 а не WAN address и port 3389 а не 7875 -
2lhassa
вы зря пренебрегаете автоматической генерацией правил файрвола при пробросе порта..
ставьте в destination 192.168.3.100 а не WAN address и port 3389 а не 7875Кстати Да. Многие не отслеживают особенность, что после портфорвардинга пакеты имеют уже порт назначения (3389 здесь), и правила нужно делать для порта нового порта (3389).
-
исправил, теперь вижу пакеты в логах, но cнаружи все равно не работает :'(
RDP на 192.168.3.100 работает, проверял из lan1
-
А где на opt правило для RDP ?
Pass TCP from any to any port 3389 -
2lhassa
проблема в том, что вы снаружи до 192.168.3.100 достучаться можете, но он вам не может ответить
либо уберите custom gateway из второго правила OPT1, либо сделайте выше этого правила еще одно, как dvserg сказал и c default gateway -
странно но не работает, как я правила только не ставил
но трафик с этой машины идет наружу судя по логам
-
Убейте все правила в Firewall->Rules->OPT1 и создайте одно:
Pass * * * * * *P.S. Создавать правила вида
Block * * * * * * в самом низу списка не нужно, оно там по умолчанию есть -
ничего не изменилось, доступа по прежнему нет
главное что от 192.168.3.100 все нормально уходит на другие адреса это видно по логам
зеленым отмечена моя попытка подключения из вне
мне кажется нужно копать в сторону Outbound NAT так как ответы на соединения не должны зависеть от правил и должны быть обеспечены NAT
-
Outbound NAT, судя по скриншоту, в порядке. Можешь для верности передернуть его в Automatic, а потом обратно в Manual (из машины выходили, колеса пинали.. все-равно не едет..)
с самим 192.168.3.100 ничего не может быть, сторонние файрволы, антивирусы и т.п? -
передергивал, даже на 1.2.3 перешел с полным обнулением и созданием всех правил заново. На 3.100 стоит ESET NOD32 Smart Security, но так как с lan 1 нормально можно зайти над этим не заморачивался, видимо стоит его снести и проверить
-
про ESET не помню, но они обычно делят входящие пакеты на зоны, типа этот из локалки, а этот - из инета..
вот, а для разных зон - разные правила
сносить не обязательно, просто исключение добавить -
проблема была в ESET NOD32 Smart Security, после отключения все заработало!