вопрос по NAT Reflection в 2.2.6



  • Перед тем как сюда писать облазил уже весь гугл и большую часть русской ветки данного форума.
    Подскажите как работает NAT Reflection, а именно:

    имеем WAN1, WAN2 (сделал из них multiWAN)
    LAN1 (192.168.1.0), LAN2 (192.168.137.0)

    На LAN1 офисная сетка (точнее будет, сейчас все в тесте), на LAN2 несколько виртуалок с RDP
    Проброс RDP портов с WAN1 на LAN2 и с WAN2 на LAN2 сделан, снаружи все ходит.

    Надо бы попасть с LAN1 по внешнему (те. через один из WAN) адресу на RDP в LAN2.
    Почитал о NAT Reflection, пробую:

    NAT Reflection mode for port forwards - NAT + proxy работает, но ИМХО устаревший режим и как упомяну ниже не поддерживает udp
    NAT Reflection mode for port forwards - pure NAT не работает. Ни в какую нет подключения.

    Подскажите что я делаю не так и почему pure NAT не работает. Можно было бы забросить все и оставить NAT + proxy, но есть еще проброс портов openvpn c WAN1 на один из адресов LAN2, он по udp и соответственнно он с LAN1 соединятся нехочет ни в какую. Куда копать чтобы работал pure NAT ?

    остальные настройки в принципе по умолчанию.



  • Рекомендую к прочтению https://forum.pfsense.org/index.php?topic=22839.msg175297#msg175297
    Чтобы сработал NAT из локальной сети на внешний адрес, необходимо сделать port forward и на интерфейсе LAN1



  • @PbIXTOP:

    Рекомендую к прочтению https://forum.pfsense.org/index.php?topic=22839.msg175297#msg175297
    Чтобы сработал NAT из локальной сети на внешний адрес, необходимо сделать port forward и на интерфейсе LAN1

    Читал, но ранее NAT reflection имел другое меню.
    Судя по описанию pure NAT должен делать проброс портов автоматически. Хочется разобраться почему не делает. Вы предлагаете вручную делать проброс с WAN на LAN2 и с LAN1 на LAN2 ?



  • Надо бы попасть с LAN1 по внешнему (те. через один из WAN) адресу на RDP в LAN2.

    А зачем ? Что мешает ходить через внутреннюю адресацию ? Добавьте правила с LAN1 на LAN2.



  • @werter:

    Надо бы попасть с LAN1 по внешнему (те. через один из WAN) адресу на RDP в LAN2.

    А зачем ? Что мешает ходить через внутреннюю адресацию ? Добавьте правила с LAN1 на LAN2.

    Все очень просто: гулющие "по миру" менеджеры, заходящие в офис ненадолго. Работают по внешней адресации, ради работы в офисе перестраивать им клиента? Мы же админы, люди ленивые :)



  • @Shaman2:

    @werter:

    Надо бы попасть с LAN1 по внешнему (те. через один из WAN) адресу на RDP в LAN2.

    А зачем ? Что мешает ходить через внутреннюю адресацию ? Добавьте правила с LAN1 на LAN2.

    Все очень просто: гулющие "по миру" менеджеры, заходящие в офис ненадолго. Работают по внешней адресации, ради работы в офисе перестраивать им клиента? Мы же админы, люди ленивые :)

    Если есть возможность соберите dump пакетов.
    Было у меня подобное — обратно pfsense закидывал пакет, но поскольку клиент и сервер находились в одной подсети обратный пакет шел в машину напрямую и отвергался интерфейсом естественно.
    Как вариант если используете NAT порт в порт использовать DNS записи для подключения.
    А Pure NAT не работает поскольку ответ от сервера уже не меняет IP адрес.

    Вот еще пара статей может помогут.
    https://forum.pfsense.org/index.php?topic=26172.0
    https://doc.pfsense.org/index.php/Why_can't_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks

    Лично я пользуюсь DNS записями или прописываю Port Forward c Outbond NAT на локальных интерфейсах.



  • @Shaman2:

    @werter:

    Надо бы попасть с LAN1 по внешнему (те. через один из WAN) адресу на RDP в LAN2.

    А зачем ? Что мешает ходить через внутреннюю адресацию ? Добавьте правила с LAN1 на LAN2.

    Все очень просто: гулющие "по миру" менеджеры, заходящие в офис ненадолго. Работают по внешней адресации, ради работы в офисе перестраивать им клиента? Мы же админы, люди ленивые :)

    С пом. Portforward можно перенаправить все что идет во вне - перенаправлять во внутрь для этих менеджеров.
    Может я непонятно выразился, пардон.



  • Проблема с внутренними/внешними подключениями изящно решается с помощью DNS без NAT.

    • Создаете "белый" домен, прописываете в него "белый" адрес.
    • Создаете в DNS Forwarders в Host Overrides запись хоста с тем же именем, но с локальным IP.

    В итоге своим менеджерам прописываете FQDN хоста, при подключении извне они берут белый адрес сервера. При подключении изнутри, белый адрес перекрывается локальным IP сервера.



  • Не используете ли вы limiter?
    Недавно столкнулся с тем, что включение лимитера отключает в 2.2.6 работоспособность NAT Reflection
    как NAT + proxy так и  pure NAT.

    Похоже это баг:
    https://forum.pfsense.org/index.php?topic=96810.0
    https://redmine.pfsense.org/issues/4326



  • Видимо это проблема релиза. Сам столкнулся с этим. Вот в этой ветке: https://forum.pfsense.org/index.php?topic=94881.0;all разбирают схожий момент. Как я понял создаются не полные правила, но даже допил руками не спасает. А на счет NAT+Proxy, мне кажется вы зря переживаете, ибо "… TCP and UDP protocols are supported." (в описании к режиму). А другие протоколы я, по крайней мере, еще ни разу не прокидывал.



  • Я бы не назвал это конкретно проблемой релиза.

    Использую  NAT Reflection в 2.2.6, начал использовать еще в 2.0.
    2.2.6, правда не чистая, а получена обновлениями с 2.0.



  • А в той ветке как раз и говорится, что в обновленных версиях с 2.1.5 все работает, а при чистой перестановке перестает



  • Здравстуйте.

    У меня на NAT Reflection на 2.3.2 в режиме NAT+proxy притормаживают или вовсе теряется связь с внутренними сервисами. Это критичный момент, так как взаиомдействие должно производиться непрерывно. А при включении Pure Nat, за зоной DMZ, почта на Zimbra начинает отклонять все письма.

    Прочел я https://doc.pfsense.org/index.php/Why_can't_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks.

    И подумал, что DNS forwarding было бы действительно неплохим решением, но как тут обстоят дела с необходимостью перенаправления к нестандартным портом?

    Т.е. пользователь набирает в браузере www.nameserver.ru, а его переадресует грубо говоря на http://10.0.0.99:8080/index.htm?
    Плюс ко всему, на этом же самом IP у нас есть еще ресурсы на порту 8081, на который должно обращаться при указании например http://10.0.0.99:8081/resources/2.
    Что бы для пользователя это выглядело просто как набор www.nameserver.ru/resources/2

    Реализуемо ли это данным средством?

    Спасибо.



  • Доброе.
    Пользователь набирает www.nameserver.ru:8080 и при вкл. dns resolver попадает на 10.0.0.99:8080
    Разве это проблема порт добавить ? Закладку им сделайте в браузере, а лучше - сами пусть сделают.



  • @werter:

    Доброе.
    Пользователь набирает www.nameserver.ru:8080 и при вкл. dns resolver попадает на 10.0.0.99:8080
    Разве это проблема порт добавить ? Закладку им сделайте в браузере, а лучше - сами пусть сделают.

    Увы - это не устроит мое руководство.

    Можно было бы сделать так, что бы по определенным адресам прописанным в правиле, пользователя кидало на нужный внутренний сервер с нужным портом. И что бы он не догадывался об этом?



  • Попробуйте создать правило portforward на LAN. Только оно не сработает, если необходимо заворачивать неск. портов на один и тот же адрес.

    Увы - это не устроит мое руководство.

    Не повезло Вам с  руководством.



  • @Kuraleb:

    Здравстуйте.

    У меня на NAT Reflection на 2.3.2 в режиме NAT+proxy притормаживают или вовсе теряется связь с внутренними сервисами. Это критичный момент, так как взаиомдействие должно производиться непрерывно. А при включении Pure Nat, за зоной DMZ, почта на Zimbra начинает отклонять все письма.

    Прочел я https://doc.pfsense.org/index.php/Why_can't_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks.

    И подумал, что DNS forwarding было бы действительно неплохим решением, но как тут обстоят дела с необходимостью перенаправления к нестандартным портом?

    Т.е. пользователь набирает в браузере www.nameserver.ru, а его переадресует грубо говоря на http://10.0.0.99:8080/index.htm?
    Плюс ко всему, на этом же самом IP у нас есть еще ресурсы на порту 8081, на который должно обращаться при указании например http://10.0.0.99:8081/resources/2.
    Что бы для пользователя это выглядело просто как набор www.nameserver.ru/resources/2

    Реализуемо ли это данным средством?

    Спасибо.

    А как тогда же работают внешние пользователи если их перекидывает на серые IP?



  • @PbIXTOP:

    А как тогда же работают внешние пользователи если их перекидывает на серые IP?

    А их никуда не перекидывает.



  • @Kuraleb:

    @PbIXTOP:

    А как тогда же работают внешние пользователи если их перекидывает на серые IP?

    А их никуда не перекидывает.

    Так может стоит настроить сервисы, чтоб и внутренних не перекидывало, а работало для всех одинаково?



  • Настройте split dns .



  • @PbIXTOP:

    @Kuraleb:

    @PbIXTOP:

    А как тогда же работают внешние пользователи если их перекидывает на серые IP?

    А их никуда не перекидывает.

    Так может стоит настроить сервисы, чтоб и внутренних не перекидывало, а работало для всех одинаково?

    У нас попросту нет серых IP)



  • Т.е. у вас в сети у всех белые ip ?



  • Такая же проблема.
    Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
    Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
    Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
    p.s. pf2.1.2



  • @bill_open:

    Такая же проблема.
    Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
    Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
    Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
    p.s. pf2.1.2

    Намного проще разрешить трафик на этот порт из LAN1 чем заморачиваться с NAT Proxy
    Если сервисы в LAN2 не принимают трафик из подсетей LAN1, тогда можно еще добавить правило NAT'а на интерфейсе LAN2 для подсетей c LAN1



  • @PbIXTOP:

    @bill_open:

    Такая же проблема.
    Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
    Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
    Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
    p.s. pf2.1.2

    Намного проще разрешить трафик на этот порт из LAN1 чем заморачиваться с NAT Proxy
    Если сервисы в LAN2 не принимают трафик из подсетей LAN1, тогда можно еще добавить правило NAT'а на интерфейсе LAN2 для подсетей c LAN1

    Это уже сделано, но так же как и в предыдущем случае это не нравится руководству)) Единственный вариант который я вижу, это ударить себя в голову и не заниматься ерундой и сменить профессию строить универсальные топологии.



  • Хочу спросить спецов:
    Разница между днс форвардером и днс резольвером



  • DNS Resolver - это Unbound:
    https://doc.pfsense.org/index.php/Unbound_DNS_Resolver
    https://en.wikipedia.org/wiki/Unbound_(DNS_server)

    DNS Forwarder - это dnsmasq
    https://doc.pfsense.org/index.php/DNS_Forwarder
    https://en.wikipedia.org/wiki/Dnsmasq
    https://ru.wikipedia.org/wiki/Dnsmasq

    Если грубо:
    Dnsmasq не может работать без указания внешнего DNS, которому он направляет запросы для разрешения имен в Интернет.
    Вики:
    Dnsmasq — легковесный и быстроконфигурируемый DNS-, DHCP- и TFTP-сервер, предназначенный для обеспечения доменными именами и связанными с ними сервисами небольшие сети. Может обеспечивать именами локальные машины, которые не имеют глобальных DNS-записей. DHCP-сервер интегрирован с DNS-сервером и даёт машинам с IP-адресом доменное имя, сконфигурированное раннее в конфигурационном файле. Поддерживает привязку IP-адреса к компьютеру или автоматическую настройку IP-адресов из заданного диапазона и BOOTP для сетевой загрузки бездисковых машин.
    Разработчики позиционируют программу для использования в домашних сетях, использующих NAT, однако Dnsmasq также применим в малых сетях организаций.

    Unbound - "полноценный" DNS.



  • @bill_open:

    @PbIXTOP:

    @bill_open:

    Такая же проблема.
    Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
    Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
    Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
    p.s. pf2.1.2

    Намного проще разрешить трафик на этот порт из LAN1 чем заморачиваться с NAT Proxy
    Если сервисы в LAN2 не принимают трафик из подсетей LAN1, тогда можно еще добавить правило NAT'а на интерфейсе LAN2 для подсетей c LAN1

    Это уже сделано, но так же как и в предыдущем случае это не нравится руководству)) Единственный вариант который я вижу, это ударить себя в голову и не заниматься ерундой и сменить профессию строить универсальные топологии.

    Так объясните руководству, что разницы никакой все равно нету, если требуется какой либо ресурс из сети LAN2. Если вы открываете порт через NAT, то точно также вы можете его открыть и на файрволе



  • @PbIXTOP:

    @bill_open:

    @PbIXTOP:

    @bill_open:

    Такая же проблема.
    Необходимо предоставить доступ к TCP порту из сети LAN1 в сеть lan2 через белый ip адрес WAN(необходимость такая же как и предыдущего оратора, поэтому прямой доступ между сетям исключен, так же исключен метод через fqdn).
    Pure NAT и NAT proxy боюсь использовать так как уже очень много проброшено портов(не знаю к каким последствиям приведет).
    Если есть какой нибудь дельный совет, подскажите, а то придется всю топологию сети переделывать, да бы исключить похожие ситуации в будущем.
    p.s. pf2.1.2

    Намного проще разрешить трафик на этот порт из LAN1 чем заморачиваться с NAT Proxy
    Если сервисы в LAN2 не принимают трафик из подсетей LAN1, тогда можно еще добавить правило NAT'а на интерфейсе LAN2 для подсетей c LAN1

    Это уже сделано, но так же как и в предыдущем случае это не нравится руководству)) Единственный вариант который я вижу, это ударить себя в голову и не заниматься ерундой и сменить профессию строить универсальные топологии.

    Так объясните руководству, что разницы никакой все равно нету, если требуется какой либо ресурс из сети LAN2. Если вы открываете порт через NAT, то точно также вы можете его открыть и на файрволе

    Хоть уже и объяснил в кратце. Но разница есть. объясняю: есть моб приложение, оно работает, только шум стоит, но есть одна необходимость подтягивать данные в него с сервака который в лан2 стоит. Собственно вот и появилась выше упомянутая необходимость. Пока что, самый правильный вариант, это изменить топологию сети.