как лучше тестировать настройки pfSense?



  • Для решения вопросов c openVPN приходится собирать себе тестовую аппаратную конфигурацию для отладки. Но не получается симитировать доступ к web-интерфейсу pfSense со стороны wan…
    1. Сохраняю действующую конфигурацию рабочего pfSense.
    2. Изменяю в ней значения WAN адреса на свободный локальный адрес -192.168.10.127), gateway - 192.168.10.222 (адрес локального порта роутера), маска 24 (255.255.255.0). Lan интерфейс остается с прежним адресом 192.168.100.250
    3. Пытаюсь с двух локальных компов иммитировать работу подсетей wan, поставив им ip 192.168.10.95 и lan 192.168.100.118
    4. проверяю наличие NAT правила, перебрасывающего приходящие tcp пакеты с порта wan 9250 на lan 443.
    5. Убеждаюсь, что со стороны компа с адресом из сетки lan я имею доступ к web-морде и я могу получить доступ к просмотру логов через Status: System log: Firewall
    Это происходит, когда я с компа с wan ip 192.168.10.95 пытаюсь получить доступ к WEB интерфейсу pfSense по ссылке:
    https://192.168.10.127:9250 Вопрос: почему я вижу попытки доступа с портов 60441, 60442, но не 9250? Что я делаю или понимаю не так?



  • 1. Скрин правил fw на WAN
    2. Отключить блокирование "серых" сетей на WAN.
    3.

    Вопрос: почему я вижу попытки доступа с портов 60441, 60442, но не 9250? Что я делаю или понимаю не так?

    СмОтрите не туда. Эти порты - исходящие и они генерятся случайным образом.
    А почему блокируеся - так вы мышку к красному крестику подведите и увидите правило, к-ое сработало.



  • @werter:

    1. Скрин правил fw на WAN
    2. Отключить блокирование "серых" сетей на WAN.
    3.

    Вопрос: почему я вижу попытки доступа с портов 60441, 60442, но не 9250? Что я делаю или понимаю не так?

    СмОтрите не туда. Эти порты - исходящие и они генерятся случайным образом.
    А почему блокируеся - так вы мышку к красному крестику подведите и увидите правило, к-ое сработало.

    Наверное, надо отключить в тестовом варианте кроме блокирования богон-сетей ещё и блокирование
    зарезервированных диапазонов.
    Я у себя сделал просто проброс TCP xxxx-порта на WAN-интерфейсе на 443-TCP порт на LAN-интерфейсе pfSense,
    всё замечательно работает.



  • Что вам мешает в виртуалке поднять 3-4 машины и извращаться с ними ?
    Я именно так обкатываю
    А то что порт не тот, дык это нат так работает. Какая вам разница с какого порта он отправлен? В правиле нат-а есть галка статик порт. Попробуйте с ней


Log in to reply