как лучше тестировать настройки pfSense?
-
Для решения вопросов c openVPN приходится собирать себе тестовую аппаратную конфигурацию для отладки. Но не получается симитировать доступ к web-интерфейсу pfSense со стороны wan…
1. Сохраняю действующую конфигурацию рабочего pfSense.
2. Изменяю в ней значения WAN адреса на свободный локальный адрес -192.168.10.127), gateway - 192.168.10.222 (адрес локального порта роутера), маска 24 (255.255.255.0). Lan интерфейс остается с прежним адресом 192.168.100.250
3. Пытаюсь с двух локальных компов иммитировать работу подсетей wan, поставив им ip 192.168.10.95 и lan 192.168.100.118
4. проверяю наличие NAT правила, перебрасывающего приходящие tcp пакеты с порта wan 9250 на lan 443.
5. Убеждаюсь, что со стороны компа с адресом из сетки lan я имею доступ к web-морде и я могу получить доступ к просмотру логов через Status: System log: Firewall
Это происходит, когда я с компа с wan ip 192.168.10.95 пытаюсь получить доступ к WEB интерфейсу pfSense по ссылке:
https://192.168.10.127:9250 Вопрос: почему я вижу попытки доступа с портов 60441, 60442, но не 9250? Что я делаю или понимаю не так? -
1. Скрин правил fw на WAN
2. Отключить блокирование "серых" сетей на WAN.
3.Вопрос: почему я вижу попытки доступа с портов 60441, 60442, но не 9250? Что я делаю или понимаю не так?
СмОтрите не туда. Эти порты - исходящие и они генерятся случайным образом.
А почему блокируеся - так вы мышку к красному крестику подведите и увидите правило, к-ое сработало. -
1. Скрин правил fw на WAN
2. Отключить блокирование "серых" сетей на WAN.
3.Вопрос: почему я вижу попытки доступа с портов 60441, 60442, но не 9250? Что я делаю или понимаю не так?
СмОтрите не туда. Эти порты - исходящие и они генерятся случайным образом.
А почему блокируеся - так вы мышку к красному крестику подведите и увидите правило, к-ое сработало.Наверное, надо отключить в тестовом варианте кроме блокирования богон-сетей ещё и блокирование
зарезервированных диапазонов.
Я у себя сделал просто проброс TCP xxxx-порта на WAN-интерфейсе на 443-TCP порт на LAN-интерфейсе pfSense,
всё замечательно работает. -
Что вам мешает в виртуалке поднять 3-4 машины и извращаться с ними ?
Я именно так обкатываю
А то что порт не тот, дык это нат так работает. Какая вам разница с какого порта он отправлен? В правиле нат-а есть галка статик порт. Попробуйте с ней