Проброс порта в туннель OpenVPN



  • Всем добрый день!

    Парни, помогите разобраться. Нечто похожее на свою проблему на форуме нашел, но тот топик закрыт, а предлагаемое решение я не понял.

    Есть две сети, офисная и домашняя. Между ними настроено соединение OpenVPN в режиме “Peer to Peer (SSL/TLS)” (PKI). На рисунке изобразил графически.

    Все работает хорошо. Клиенты по по обе стороны видят друг друга.

    Требуется сделать проброс порта с внешнего IP (pfSense 2.1) в туннель до домашнего сервера, что бы я мог зайти на него из Интернета.
    Проброс в офисную сеть работает отлично, а в туннель никак не получается.

    Какая информация от меня требуется?

    Большое спасибо!



  • Вар. 1. Что мешает сделать проброс порта на Openwrt роутере? Серый IP на WAN ? Или боитесь порт открывать?

    Вар. 2. Поднять на OpenWRT PPTP-сервер и ходить в домашнюю сеть через него (если WAN - белая динамика\статика)

    Зачем вам такие "костыли" , как на схеме?



  • На OpenWRT нет внешнего IP - он за NAT-ом провайдера.



  • Заинтерсовало. Решил 8)

    1. Создаем стандартное правило Port forwarding на WAN , где Destination указываем WAN address и порт, напр. 33890.
    Соответственно Redirect target IP - адрес вашей машины в Home LAN и порт 3389.

    2. Идем в Firewall: NAT: Outbound и переключаем в Manual Outbound NAT rule generation (AON - Advanced Outbound NAT).
    Создаем правило на инт. OpenVPN, в к-ом в Source указываем IP или сеть вашего внешнего клиента, а в Destination - адрес вашей Home LAN.

    Внимание! В ручном режиме NAT не забудьте создать вручную правила для LAN (доступ в Интернет) и OpenVPN (доступ в LAN для OpenVPN-клиентов)



  • @werter:

    2. Идем в Firewall: NAT: Outbound и переключаем в Manual Outbound NAT rule generation (AON - Advanced Outbound NAT).
    Создаем правило на инт. OpenVPN, в к-ом в Source указываем IP или сеть вашего внешнего клиента, а в Destination - адрес вашей Home LAN.

    в к-ом в Source указываем IP или сеть вашего внешнего клиента - Он же, по идее, может быть любым?..

    @werter:

    Внимание! В ручном режиме NAT не забудьте создать вручную правила для LAN (доступ в Интернет) и OpenVPN (доступ в LAN для OpenVPN-клиентов)

    Я что-то не совсем понял  :-[  На втором слайде мои правила. Как на ваш взгляд, всё ли верно?






  • На втором скрине последнее правило поставьте самым первым и внесите в Source адрес\сеть подключающегося извне (хотя бы временно). Заработает - поставите any и проверите снова .



  • Как-то не всегда отрабатывает. То заходит, то не заходит.

    Скорее всего, намудрил с правилами.



  • Как только сохраняю правило, то в течении 10-15 секунд соединяется по RDP, но потом не хочет.

    Кстати, если сделать проброс SSH до роутера в Home LAN, то это работает.

    Сейчас буду разбираться с фаерволом на стороне OpenWRT



  • @werter:

    Заработает - поставите any и проверите снова .

    Спасибо, схема работает!

    Но есть один нюанс. Когда ставишь any - то из офисной сети не видно домашний роутер. А как можно заранее определить, из какой сети придется устанавливать соединение?..



  • Поспешил с выводами  :-\

    Уважаемый werter, помоги с решением. Может, можно как-нибудь обойти эту проблему?

    Если я ставлю в правиле для источника ANY, то какое-то время связь есть и я могу попасть на компы в домашней сети из-вне. После это, ресурсы опять становятся не доступны. Также, при таком решении, я перестаю видеть компы домашней сетки из офисной сети.