Перенаправление пакетов
-
Добрый день.
Помогите решить задачу. Есть два pfsens и сервер freebsd:
A. 192.168.101.2 pfsens
B. 192.168.110.1 pfsens
C. 192.168.100.1 freebsdМежду pfsens построены тунели Open VPN.
На роутер "А" приходит запрос из вне.
На роутере "А" есть правило, если запрос идет по порту XXXX все отправлять на роутер "В". Сервер "В" передает запрос клиенту 192.168.100.109. Тот отвечает и отправляет пакет обратно.
Все идет по обратному пути. Сначала сервер "С" после чего "В". Но сервер "В" вместо того что бы передать пакет серверу "А" отправляет его по маршруту по умолчанию в интернет.Вот так это выглядит:
11:59:10.788341 IP 192.168.100.109.80 > 195.20.154.194.50091: tcp 0
11:59:10.790439 IP 192.168.100.109.80 > 195.20.154.194.50092: tcp 0
11:59:11.038575 IP 192.168.100.109.80 > 195.20.154.194.50093: tcp 0Помогите побороть задачу.
-
A. 192.168.1.1
B. 192.168.2.1Можно попробовать так
http://www.thin.kiev.ua/router-os/50-pfsense/456-222.html -
добавляю правило для форвардинга, и правило ната. И ничего.
Куда копать?
-
Сначала сервер "С" после чего "В". Но сервер "В" вместо того что бы передать пакет серверу "А" отправляет его по маршруту по умолчанию в интернет.
С каким адресом приходят пакеты на В от С ? Проверьте этот момент. И точно ли приходят?
-
Они приходят точно. Вот лог Diagnostics: Packet Capture На WAN интерфейсе:
14:04:07.548617 IP 192.168.100.109.80 > 195.20.154.194.51908: tcp 0
14:04:07.548642 IP 192.168.100.109.80 > 195.20.154.194.51907: tcp 0
14:04:07.744566 IP 192.168.100.109.80 > 195.20.154.194.51907: tcp 0
Они пытаются выскочить в интернет. И это логично так как адрес на который должен вернутся пакет "НАТОВСКИЙ"(195.20.154.194)
Приходят с адресом 192.168.100.109 -
Вы то что на скринах на каком из пф делали, на .110? И есть ли на нем маршут из .100. в 101 через него ?
-
Все скрины с "B. 192.168.110.1"
На нем есть вот такие маршруты:
default 109.237.XX.XXX UGS 0 3022747 1500 em0
192.168.60.1 link#14 UHS 0 0 16384 lo0
192.168.60.2 link#14 UH 0 0 1500 ovpns2
192.168.100.0/24 192.168.101.1 UGS 0 2731636 1500 em1
192.168.100.109/32 192.168.60.2 UGS 0 12 1500 ovpns2
192.168.110.0/24 192.168.60.2 UGS 0 1754 1500 ovpns2Вот этот только что добавил 192.168.100.109/32 192.168.60.2 UGS 0 12 1500 ovpns2
Но не помогло. Сейчас смотрю куда оно вообще пошло.Теперь пакеты по кругу ходят
Diagnostics: Traceroute на сервере 192.168.110.1
Traceroute output:
1 192.168.60.1 (192.168.60.1) 16.640 ms 15.278 ms 14.190 ms
2 localhost (127.0.0.1) 16.235 ms 14.458 ms 15.505 ms
3 192.168.60.1 (192.168.60.1) 29.376 ms 28.615 ms 31.440 ms
4 localhost (127.0.0.1) 28.376 ms 28.439 ms 29.277 ms
5 192.168.60.1 (192.168.60.1) 43.113 ms 42.598 ms 43.074 ms
6 localhost (127.0.0.1) 42.809 ms 43.090 ms 42.466 ms
7 192.168.60.1 (192.168.60.1) 56.569 ms 56.678 ms 59.080 ms
8 localhost (127.0.0.1) 57.083 ms 56.312 ms 56.459 ms
9 192.168.60.1 (192.168.60.1) 70.671 ms 72.018 ms 71.465 ms -
добавляю правило для форвардинга, и правило ната. И ничего.
Куда копать?Внимательно смотрите скриншот http://www.thin.kiev.ua/images/stories/pfsense/redir-rdp/nat-out2.jpg
distination - не подсеть, а IP с маской.
-
Я пробовал уже по разному.
Сейчас вернул как на скриншоте и результат тот же.
-
Я пробовал уже по разному.
Сейчас вернул как на скриншоте и результат тот же.Почему тогда у вас в графе Soгrce у вас IP адерес а не any? А в Source port 80 вместо звездочки?
Уверен что и в брендмауере выборочно порты открыты! :-)
-
Убрал source. Результат тот же.
-
А в NAT-е source port на кой ляд оставили? И смените маску на 24 и адрес на адрес сети, а не одного хоста, т.е. на 192.168.100.0/24
-
сделал, результат нулевой, пакеты идут наружу. :'(
-
Diagnostics: Traceroute на сервере 192.168.110.1
Traceroute output:
1 192.168.60.1 (192.168.60.1) 16.640 ms 15.278 ms 14.190 ms
2 localhost (127.0.0.1) 16.235 ms 14.458 ms 15.505 msУ вас связь вообще есть через опенвпн между 100 и 110 ?? 101 и 100 ?
192.168.100.109/32 192.168.60.2 UGS 0 12 1500 ovpns2
192.168.110.0/24 192.168.60.2 UGS 0 1754 1500 ovpns2192.168.100.109/32 смените на 192.168.100.0/24 в настройках ОпенВПН
После проверки\правки выше сказанного, если не заработает, то верните NAT в автомат и снова проверьте.
-
Сделал вышесказанное. Проверил все направления по каналам связи все работает.
Переключил в автомат нат, не заработало. Вернул обратно снова не заработало.
Может есть возможность как то по другому это сделать?
-
Обязательно ли дублировать 192.168.110.0/24 в IPv4 Remote network директивой
route 192.168.110.0 255.255.255.0
в Advanced? -
Верно. Это лишнее.
-
Если 192.168.110.0/24 в IPv4 Remote network убрать то я перестаю видеть удален ку.
Advanced убрал.
Результат все тот же. -
Если 192.168.110.0/24 в IPv4 Remote network убрать то я перестаю видеть удален ку.
Advanced убрал.
Результат все тот же.Оставаться должно или там или там. Не надо убирать в двух местах сразу.
-
Оставил только IPv4 Remote network.
Нашел в нете пишут что для работы проброса порта из локальной сети необходимо убрать "галку"
http://www.thin.kiev.ua/router-os/50-pfsense/536-internet-g-wang-internet.html
В моей ситуации такой нет. Есть выбор в NAT Reflection mode for port forwards:
Enable (Pure NAT)
Enable(NAT + Proxy)
Disable
Что ставить? Я думаю в этом проблема.