RDP NAT OpenVPN РЕШЕНО



  • Добрый день!
    Есть pf1 и pf2. Версии 2.2.6.
    На pf1 поднят сервер OpenVpn Peer to Peer.
    pf2 является клиентом openvpn pf1.
    Тунель поднят и все хорошо. Все бегает.
    Задача подключение клиента RDP на WAN pf2 и попадания его в подсеть pf1 через тунель.
    Пробовал различные варианты portmapping. Отключал фарвол.
    Пробовал писать правила вручную в Outbound.
    Не получается. Бъюсь уже неделю.
    Просьба подсказать решение этой задачи.
    Понимаю что проблема в NAT.

    Смотрел логи fw, там все нормально.
    Пользовался tcpdump -  не помогло

    Скрины прилагаю











  • Доброе.
    Покажите скрины того, что настраивали - fw, nat, routing etc.



  • Попробуйте с пом. proxy arp решить проблему

    https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses
    http://olivier.cochard.me/reseaux/pfsense/case–solving-problem-with-nat

    Стоп.

    Задача подключение клиента RDP на WAN pf2 и попадания его в подсеть pf1 через тунель

    А этому клиенту маршрут в подсеть pf1 при поднятие openvpn отдается ?
    Покажите настройки OpenVPN.

    На скрине fw_lan - поставьте 2 последних активных правила выше всех



  • https://forum.pfsense.org/index.php/topic,58846.0.html
    Всё расписано, работает. После установки правил для впн туннеля, перегрузи шлюз - у меня только так заработало.



  • Вам нужен дополнительный nat на OpenVPN интерфейсе в сторону сети pf1 из pf2 для внешних подключений.
    Ситуация у вас приблизительно подобная Маппинг: Пример маппинга RDP, если pfSense не является шлюзом по умолчанию
    Или как вариант искать настройки, которые отвечают за привязку соединений к интерфейсам. Более опытные товарищи наверное более точно вспомнят как это называется.



  • Тунель OpenVPN работает. Сети за pf1 и за pf2 спокойно видятся и работают все сервисы. За pf2 у меня серверы, за за pf1 у меня рабочие станции. Вывод: маршрутизация в тунеле работает нормально.
    По поводу правил фарвола, анализировал логи - все пропускает. Мне кажется нужно рыть в сторону NAT и может быть Proxy ARP, но уже и там пробовал разобраться - чтото не выходит.



  • Еще в догонку, пояснение,  клиент RDP подключается из ВНЕ на WAN pf2 и должен попасть на сервер за pf1. Как я понимаю, нужно рыть только на pf2. Что бы клиент уходил в тунель.



  • 2 maybe-old

    Мил человек, Вы это проверили ?

    А этому клиенту маршрут в подсеть pf1 при поднятие openvpn отдается ?

    Покажие route print (ком. строка от имени Адм-ра!) на проблемном клиенте после поднятия туннеля.



  • Так как клиент RDP в WAN, ВООБЩЕ снаруже, то маршрут сдесь ни причем.

    РЕШЕНИЕ для потомков.
    Все так решил задачу:
    Создаем Virtual IP на LAN , с ip 192.168.111.254  из подсети pf2.
    NAT: Outbound переводим в гибрид и добавляем.
    OpenVPN  any tcp/* 192.168.2.0/24 tcp/* 192.168.111.254 * YES

    Можно явно указать порты, например порт RDP.

    И теперь клиент из интернет подключается по RDP на pf2, попадает в тунель между pf1 и pf2, и попадает на сервер за pf1.

    ВСЕМ СПАСИБО ЗА УЧАСТИЕ.



  • Можно явно указать порты, например порт RDP.

    Не можно, а нужно. Иначе весь tcp-трафик завернете один ip.

    Зы. Я бы с proxy arp заморочился.


Log in to reply