Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Перенаправление пакетов

    Russian
    4
    20
    2180
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      testsia last edited by

      Добрый день.
      Помогите решить задачу. Есть два pfsens и сервер freebsd:
      A. 192.168.101.2 pfsens
      B. 192.168.110.1 pfsens
      C. 192.168.100.1 freebsd

      Между pfsens построены тунели  Open VPN.
      На роутер "А" приходит запрос из вне.
      На роутере "А" есть правило, если запрос идет по порту XXXX все отправлять на роутер "В". Сервер "В" передает запрос клиенту 192.168.100.109. Тот отвечает и отправляет пакет обратно.
      Все идет по обратному пути. Сначала сервер "С" после чего "В". Но сервер "В" вместо того что бы передать пакет серверу "А" отправляет его по маршруту по умолчанию в интернет.Вот так это выглядит:
      11:59:10.788341 IP 192.168.100.109.80 > 195.20.154.194.50091: tcp 0
      11:59:10.790439 IP 192.168.100.109.80 > 195.20.154.194.50092: tcp 0
      11:59:11.038575 IP 192.168.100.109.80 > 195.20.154.194.50093: tcp 0

      Помогите побороть задачу.

      1 Reply Last reply Reply Quote 0
      • D
        dr.gopher last edited by

        @testsia:

        A. 192.168.1.1
        B. 192.168.2.1

        Можно попробовать так
        http://www.thin.kiev.ua/router-os/50-pfsense/456-222.html

        FAQ PfSense 2.0

        И не забываем про Adblock дабы не видеть баннеров.

        И многое другое на www.thin.kiev.ua

        1 Reply Last reply Reply Quote 0
        • T
          testsia last edited by

          добавляю правило для форвардинга, и правило ната. И ничего.
          Куда копать?






          1 Reply Last reply Reply Quote 0
          • werter
            werter last edited by

            Сначала сервер "С" после чего "В". Но сервер "В" вместо того что бы передать пакет серверу "А" отправляет его по маршруту по умолчанию в интернет.

            С каким адресом приходят пакеты на В от С ? Проверьте этот момент. И точно ли приходят?

            1 Reply Last reply Reply Quote 0
            • T
              testsia last edited by

              Они приходят точно. Вот лог Diagnostics: Packet Capture На WAN интерфейсе:
              14:04:07.548617 IP 192.168.100.109.80 > 195.20.154.194.51908: tcp 0
              14:04:07.548642 IP 192.168.100.109.80 > 195.20.154.194.51907: tcp 0
              14:04:07.744566 IP 192.168.100.109.80 > 195.20.154.194.51907: tcp 0
              Они  пытаются выскочить в интернет. И это логично так как адрес на который должен вернутся пакет "НАТОВСКИЙ"(195.20.154.194)
              Приходят с адресом  192.168.100.109

              1 Reply Last reply Reply Quote 0
              • werter
                werter last edited by

                Вы то что на скринах на каком из пф делали, на .110? И есть ли на нем маршут из .100. в 101 через него ?

                1 Reply Last reply Reply Quote 0
                • T
                  testsia last edited by

                  Все скрины с "B. 192.168.110.1"
                  На нем есть вот такие маршруты:
                  default 109.237.XX.XXX  UGS 0 3022747 1500 em0
                  192.168.60.1 link#14 UHS 0 0 16384 lo0
                  192.168.60.2 link#14 UH 0 0 1500 ovpns2
                  192.168.100.0/24 192.168.101.1 UGS 0 2731636 1500 em1
                  192.168.100.109/32 192.168.60.2 UGS 0 12 1500 ovpns2
                  192.168.110.0/24 192.168.60.2 UGS 0 1754 1500 ovpns2

                  Вот этот только что добавил 192.168.100.109/32 192.168.60.2 UGS 0 12 1500 ovpns2
                  Но не помогло. Сейчас смотрю куда оно вообще пошло.

                  Теперь пакеты по кругу ходят
                  Diagnostics: Traceroute на сервере 192.168.110.1
                  Traceroute output:
                  1  192.168.60.1 (192.168.60.1)  16.640 ms  15.278 ms  14.190 ms
                  2  localhost (127.0.0.1)  16.235 ms  14.458 ms  15.505 ms
                  3  192.168.60.1 (192.168.60.1)  29.376 ms  28.615 ms  31.440 ms
                  4  localhost (127.0.0.1)  28.376 ms  28.439 ms  29.277 ms
                  5  192.168.60.1 (192.168.60.1)  43.113 ms  42.598 ms  43.074 ms
                  6  localhost (127.0.0.1)  42.809 ms  43.090 ms  42.466 ms
                  7  192.168.60.1 (192.168.60.1)  56.569 ms  56.678 ms  59.080 ms
                  8  localhost (127.0.0.1)  57.083 ms  56.312 ms  56.459 ms
                  9  192.168.60.1 (192.168.60.1)  70.671 ms  72.018 ms  71.465 ms

                  1 Reply Last reply Reply Quote 0
                  • D
                    dr.gopher last edited by

                    @testsia:

                    добавляю правило для форвардинга, и правило ната. И ничего.
                    Куда копать?

                    Внимательно смотрите скриншот http://www.thin.kiev.ua/images/stories/pfsense/redir-rdp/nat-out2.jpg

                    distination - не подсеть, а IP с маской.

                    FAQ PfSense 2.0

                    И не забываем про Adblock дабы не видеть баннеров.

                    И многое другое на www.thin.kiev.ua

                    1 Reply Last reply Reply Quote 0
                    • T
                      testsia last edited by

                      Я пробовал уже по разному.
                      Сейчас вернул как на скриншоте и результат тот же.


                      1 Reply Last reply Reply Quote 0
                      • D
                        dr.gopher last edited by

                        @testsia:

                        Я пробовал уже по разному.
                        Сейчас вернул как на скриншоте и результат тот же.

                        Почему тогда у вас в графе Soгrce у вас IP адерес а не any?  А в Source port 80 вместо звездочки?

                        Уверен что и в брендмауере выборочно порты открыты! :-)

                        FAQ PfSense 2.0

                        И не забываем про Adblock дабы не видеть баннеров.

                        И многое другое на www.thin.kiev.ua

                        1 Reply Last reply Reply Quote 0
                        • T
                          testsia last edited by

                          Убрал source. Результат тот же.






                          1 Reply Last reply Reply Quote 0
                          • werter
                            werter last edited by

                            А в NAT-е source port на кой ляд оставили? И смените маску на 24 и адрес на адрес сети, а не одного хоста, т.е. на 192.168.100.0/24

                            1 Reply Last reply Reply Quote 0
                            • T
                              testsia last edited by

                              сделал, результат нулевой, пакеты идут наружу. :'(


                              1 Reply Last reply Reply Quote 0
                              • werter
                                werter last edited by

                                Diagnostics: Traceroute на сервере 192.168.110.1
                                Traceroute output:
                                1  192.168.60.1 (192.168.60.1)  16.640 ms  15.278 ms  14.190 ms
                                2  localhost (127.0.0.1)  16.235 ms  14.458 ms  15.505 ms

                                У вас связь вообще есть через опенвпн между 100 и 110 ?? 101 и 100 ?

                                192.168.100.109/32  192.168.60.2  UGS  0  12  1500  ovpns2   
                                192.168.110.0/24  192.168.60.2  UGS  0  1754  1500  ovpns2

                                192.168.100.109/32 смените на 192.168.100.0/24 в настройках ОпенВПН

                                После проверки\правки выше сказанного, если не заработает, то верните NAT в автомат и снова проверьте.

                                1 Reply Last reply Reply Quote 0
                                • T
                                  testsia last edited by

                                  Сделал вышесказанное. Проверил все направления по каналам связи все работает.
                                  Переключил в автомат нат, не заработало. Вернул обратно снова не заработало.
                                  Может есть возможность как то по другому это сделать?






                                  1 Reply Last reply Reply Quote 0
                                  • P
                                    pigbrother last edited by

                                    Обязательно ли дублировать 192.168.110.0/24 в IPv4 Remote network директивой
                                    route  192.168.110.0 255.255.255.0
                                    в Advanced?

                                    1 Reply Last reply Reply Quote 0
                                    • werter
                                      werter last edited by

                                      Верно. Это лишнее.

                                      1 Reply Last reply Reply Quote 0
                                      • T
                                        testsia last edited by

                                        Если 192.168.110.0/24 в IPv4 Remote network убрать то я перестаю видеть удален ку.
                                        Advanced убрал.
                                        Результат все тот же.

                                        1 Reply Last reply Reply Quote 0
                                        • werter
                                          werter last edited by

                                          @testsia:

                                          Если 192.168.110.0/24 в IPv4 Remote network убрать то я перестаю видеть удален ку.
                                          Advanced убрал.
                                          Результат все тот же.

                                          Оставаться должно или там или там. Не надо убирать в двух местах сразу.

                                          1 Reply Last reply Reply Quote 0
                                          • T
                                            testsia last edited by

                                            Оставил только IPv4 Remote network.
                                            Нашел в нете пишут что для  работы проброса порта из локальной сети необходимо убрать "галку"
                                            http://www.thin.kiev.ua/router-os/50-pfsense/536-internet-g-wang-internet.html
                                            В моей ситуации  такой нет. Есть выбор в NAT Reflection mode for port forwards:
                                            Enable (Pure NAT)
                                            Enable(NAT + Proxy)
                                            Disable
                                            Что ставить? Я думаю в этом проблема.

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post