Перенаправление пакетов



  • Добрый день.
    Помогите решить задачу. Есть два pfsens и сервер freebsd:
    A. 192.168.101.2 pfsens
    B. 192.168.110.1 pfsens
    C. 192.168.100.1 freebsd

    Между pfsens построены тунели  Open VPN.
    На роутер "А" приходит запрос из вне.
    На роутере "А" есть правило, если запрос идет по порту XXXX все отправлять на роутер "В". Сервер "В" передает запрос клиенту 192.168.100.109. Тот отвечает и отправляет пакет обратно.
    Все идет по обратному пути. Сначала сервер "С" после чего "В". Но сервер "В" вместо того что бы передать пакет серверу "А" отправляет его по маршруту по умолчанию в интернет.Вот так это выглядит:
    11:59:10.788341 IP 192.168.100.109.80 > 195.20.154.194.50091: tcp 0
    11:59:10.790439 IP 192.168.100.109.80 > 195.20.154.194.50092: tcp 0
    11:59:11.038575 IP 192.168.100.109.80 > 195.20.154.194.50093: tcp 0

    Помогите побороть задачу.



  • @testsia:

    A. 192.168.1.1
    B. 192.168.2.1

    Можно попробовать так
    http://www.thin.kiev.ua/router-os/50-pfsense/456-222.html



  • добавляю правило для форвардинга, и правило ната. И ничего.
    Куда копать?








  • Сначала сервер "С" после чего "В". Но сервер "В" вместо того что бы передать пакет серверу "А" отправляет его по маршруту по умолчанию в интернет.

    С каким адресом приходят пакеты на В от С ? Проверьте этот момент. И точно ли приходят?



  • Они приходят точно. Вот лог Diagnostics: Packet Capture На WAN интерфейсе:
    14:04:07.548617 IP 192.168.100.109.80 > 195.20.154.194.51908: tcp 0
    14:04:07.548642 IP 192.168.100.109.80 > 195.20.154.194.51907: tcp 0
    14:04:07.744566 IP 192.168.100.109.80 > 195.20.154.194.51907: tcp 0
    Они  пытаются выскочить в интернет. И это логично так как адрес на который должен вернутся пакет "НАТОВСКИЙ"(195.20.154.194)
    Приходят с адресом  192.168.100.109



  • Вы то что на скринах на каком из пф делали, на .110? И есть ли на нем маршут из .100. в 101 через него ?



  • Все скрины с "B. 192.168.110.1"
    На нем есть вот такие маршруты:
    default 109.237.XX.XXX  UGS 0 3022747 1500 em0
    192.168.60.1 link#14 UHS 0 0 16384 lo0
    192.168.60.2 link#14 UH 0 0 1500 ovpns2
    192.168.100.0/24 192.168.101.1 UGS 0 2731636 1500 em1
    192.168.100.109/32 192.168.60.2 UGS 0 12 1500 ovpns2
    192.168.110.0/24 192.168.60.2 UGS 0 1754 1500 ovpns2

    Вот этот только что добавил 192.168.100.109/32 192.168.60.2 UGS 0 12 1500 ovpns2
    Но не помогло. Сейчас смотрю куда оно вообще пошло.

    Теперь пакеты по кругу ходят
    Diagnostics: Traceroute на сервере 192.168.110.1
    Traceroute output:
    1  192.168.60.1 (192.168.60.1)  16.640 ms  15.278 ms  14.190 ms
    2  localhost (127.0.0.1)  16.235 ms  14.458 ms  15.505 ms
    3  192.168.60.1 (192.168.60.1)  29.376 ms  28.615 ms  31.440 ms
    4  localhost (127.0.0.1)  28.376 ms  28.439 ms  29.277 ms
    5  192.168.60.1 (192.168.60.1)  43.113 ms  42.598 ms  43.074 ms
    6  localhost (127.0.0.1)  42.809 ms  43.090 ms  42.466 ms
    7  192.168.60.1 (192.168.60.1)  56.569 ms  56.678 ms  59.080 ms
    8  localhost (127.0.0.1)  57.083 ms  56.312 ms  56.459 ms
    9  192.168.60.1 (192.168.60.1)  70.671 ms  72.018 ms  71.465 ms



  • @testsia:

    добавляю правило для форвардинга, и правило ната. И ничего.
    Куда копать?

    Внимательно смотрите скриншот http://www.thin.kiev.ua/images/stories/pfsense/redir-rdp/nat-out2.jpg

    distination - не подсеть, а IP с маской.



  • Я пробовал уже по разному.
    Сейчас вернул как на скриншоте и результат тот же.




  • @testsia:

    Я пробовал уже по разному.
    Сейчас вернул как на скриншоте и результат тот же.

    Почему тогда у вас в графе Soгrce у вас IP адерес а не any?  А в Source port 80 вместо звездочки?

    Уверен что и в брендмауере выборочно порты открыты! :-)



  • Убрал source. Результат тот же.








  • А в NAT-е source port на кой ляд оставили? И смените маску на 24 и адрес на адрес сети, а не одного хоста, т.е. на 192.168.100.0/24



  • сделал, результат нулевой, пакеты идут наружу. :'(




  • Diagnostics: Traceroute на сервере 192.168.110.1
    Traceroute output:
    1  192.168.60.1 (192.168.60.1)  16.640 ms  15.278 ms  14.190 ms
    2  localhost (127.0.0.1)  16.235 ms  14.458 ms  15.505 ms

    У вас связь вообще есть через опенвпн между 100 и 110 ?? 101 и 100 ?

    192.168.100.109/32  192.168.60.2  UGS  0  12  1500  ovpns2   
    192.168.110.0/24  192.168.60.2  UGS  0  1754  1500  ovpns2

    192.168.100.109/32 смените на 192.168.100.0/24 в настройках ОпенВПН

    После проверки\правки выше сказанного, если не заработает, то верните NAT в автомат и снова проверьте.



  • Сделал вышесказанное. Проверил все направления по каналам связи все работает.
    Переключил в автомат нат, не заработало. Вернул обратно снова не заработало.
    Может есть возможность как то по другому это сделать?








  • Обязательно ли дублировать 192.168.110.0/24 в IPv4 Remote network директивой
    route  192.168.110.0 255.255.255.0
    в Advanced?



  • Верно. Это лишнее.



  • Если 192.168.110.0/24 в IPv4 Remote network убрать то я перестаю видеть удален ку.
    Advanced убрал.
    Результат все тот же.



  • @testsia:

    Если 192.168.110.0/24 в IPv4 Remote network убрать то я перестаю видеть удален ку.
    Advanced убрал.
    Результат все тот же.

    Оставаться должно или там или там. Не надо убирать в двух местах сразу.



  • Оставил только IPv4 Remote network.
    Нашел в нете пишут что для  работы проброса порта из локальной сети необходимо убрать "галку"
    http://www.thin.kiev.ua/router-os/50-pfsense/536-internet-g-wang-internet.html
    В моей ситуации  такой нет. Есть выбор в NAT Reflection mode for port forwards:
    Enable (Pure NAT)
    Enable(NAT + Proxy)
    Disable
    Что ставить? Я думаю в этом проблема.