Pfsense за ADSL-маршрутизатором



  • Добрый день.

    Сервер pfSense подключен через ADSL - маршрутизатор ростелекома. Маршрутизатор работает в режиме мост. Правила доступа простые - все наружу можно, внутрь можно все только с нескольких IP. Больше ничего нет.

    re0: 192.168.0.4 - одключен к модему
    re1: 192.168.1.1 - локальная сеть
    pppoe0: 10.10.121.166 –> 1.2.3.4 (это показывает ifconfig)

    С указанных, разрешенных адресов нет доступа. nmap снаружи говорит что "Host seems down"



  • @dfm:

    Добрый день.

    Сервер pfSense подключен через ADSL - маршрутизатор ростелекома. Маршрутизатор работает в режиме мост. Правила доступа простые - все наружу можно, внутрь можно все только с нескольких IP. Больше ничего нет.

    re0: 192.168.0.4 - одключен к модему
    re1: 192.168.1.1 - локальная сеть
    pppoe0: 10.10.121.166 –> 1.2.3.4 (это показывает ifconfig)

    С указанных, разрешенных адресов нет доступа. nmap снаружи говорит что "Host seems down"

    Вместо 1.2.3.4 - на WAN (pppoe) "белый" IP? Если нет - доступа снаружи не будет.
    Доступ снаружи - это порт форвард? Если да - приведите скриншот правил.
    10.10.121.166 - что это за адрес?



  • @pigbrother:

    Вместо 1.2.3.4 - на WAN (pppoe) "белый" IP? Если нет - доступа снаружи не будет.

    Да, это "белый" адрес.

    @pigbrother:

    Доступ снаружи - это порт форвард? Если да - приведите скриншот правил.

    для начала просто доступ к веб-интерфейсу pfSense, без проброски портов

    @pigbrother:

    10.10.121.166 - что это за адрес?

    этот адрес отдает ifconfig, видимо какой-то адрес внутренней сети провайдера



  • @dfm:

    @pigbrother:

    Вместо 1.2.3.4 - на WAN (pppoe) "белый" IP? Если нет - доступа снаружи не будет.

    Да, это "белый" адрес.

    @pigbrother:

    Доступ снаружи - это порт форвард? Если да - приведите скриншот правил.

    для начала просто доступ к веб-интерфейсу pfSense, без проброски портов

    @pigbrother:

    10.10.121.166 - что это за адрес?

    этот адрес отдает ifconfig, видимо какой-то адрес внутренней сети провайдера

    Без проброса порта на LAN pfSense доступа к веб-интерфейсу не будет
    10.10.121.166 - не включен ли в модеме DHCP ([хотя в бридже DHCP, по идее, не работает)



  • Скрины правил fw, port forwarding.



  • @pigbrother:

    Без проброса порта на LAN pfSense доступа к веб-интерфейсу не будет
    10.10.121.166 - не включен ли в модеме DHCP ([хотя в бридже DHCP, по идее, не работает)
    [/quote]
    т.е. проброс нужно сделать с WAN на LAN?
    DHCP включен, раздает адреса 192.168.0.0/24

    @werter:

    Скрины правил fw, port forwarding.



  • Port forward порта TCP 80 на IP LAN-интерфейса pfSense

    WAN TCP * * * 80 (HTTP) pfSense_IP 80 (HTTP)

    Правило на WAN - неверное.



  • @pigbrother:

    Port forward порта TCP 80 на IP LAN-интерфейса pfSense

    WAN TCP * * * 80 (HTTP) pfSense_IP 80 (HTTP)

    к сожалению это правило не дало результата

    @pigbrother:

    Правило на WAN - неверное.

    А что с ним не так? Оно должно пропускать все к фаерволу с определенного IP разве нет? по крайней мере в другом офисе оно работает…

    вобще я сначала настроил все одинаково на двух шлюзах - на этом и на другом, где интернет воткнут напрямую в шлюз и все эти правила работают, но здесь, по каким-то причинам, не идет маршрутизация внутрь



  • Никто не настраивал с  ADSL-маршрутизатором? проблема все еще актуальна…



  • @dfm:

    С указанных, разрешенных адресов нет доступа. nmap снаружи говорит что "Host seems down"

    icmp запрещён, порты не проброшены –- было бы удивительно получить от nmap другой ответ.

    Смотри ниже.

    ![2015-06-17 16-50-39 ???????? ??????.png](/public/imported_attachments/1/2015-06-17 16-50-39 ???????? ??????.png)
    ![2015-06-17 16-50-39 ???????? ??????.png_thumb](/public/imported_attachments/1/2015-06-17 16-50-39 ???????? ??????.png_thumb)



  • Ставлю 50 на отсутствие "белого/чистого/статического" ip у топикстартера. Центральный регион ростелекома уже давно начал nat'ить клиентов рандомным образом.



  • @suslayer:

    Ставлю 50 на отсутствие "белого/чистого/статического" ip у топикстартера. Центральный регион ростелекома уже давно начал nat'ить клиентов рандомным образом.

    в сибири ростелек при правильном коннекте (верные логин+пароль) даёт белые адреса. При неправльном - серые. вероятно сделано для госуслуг, не проверял.


Log in to reply