RDP NAT OpenVPN РЕШЕНО

maybe-old

Добрый день!
Есть pf1 и pf2. Версии 2.2.6.
На pf1 поднят сервер OpenVpn Peer to Peer.
pf2 является клиентом openvpn pf1.
Тунель поднят и все хорошо. Все бегает.
Задача подключение клиента RDP на WAN pf2 и попадания его в подсеть pf1 через тунель.
Пробовал различные варианты portmapping. Отключал фарвол.
Пробовал писать правила вручную в Outbound.
Не получается. Бъюсь уже неделю.
Просьба подсказать решение этой задачи.
Понимаю что проблема в NAT.

Смотрел логи fw, там все нормально.
Пользовался tcpdump - не помогло

Скрины прилагаю

nat.png_thumb

out.png_thumb

fw.png_thumb

fw_lan.png_thumb

fw_openvpn.png_thumb

werter

Доброе.
Покажите скрины того, что настраивали - fw, nat, routing etc.

werter

Попробуйте с пом. proxy arp решить проблему

https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses
http://olivier.cochard.me/reseaux/pfsense/case–solving-problem-with-nat

Стоп.

Задача подключение клиента RDP на WAN pf2 и попадания его в подсеть pf1 через тунель

А этому клиенту маршрут в подсеть pf1 при поднятие openvpn отдается ?
Покажите настройки OpenVPN.

На скрине fw_lan - поставьте 2 последних активных правила выше всех

dduh

https://forum.pfsense.org/index.php/topic,58846.0.html
Всё расписано, работает. После установки правил для впн туннеля, перегрузи шлюз - у меня только так заработало.

PbIXTOP

Вам нужен дополнительный nat на OpenVPN интерфейсе в сторону сети pf1 из pf2 для внешних подключений.
Ситуация у вас приблизительно подобная Маппинг: Пример маппинга RDP, если pfSense не является шлюзом по умолчанию
Или как вариант искать настройки, которые отвечают за привязку соединений к интерфейсам. Более опытные товарищи наверное более точно вспомнят как это называется.

maybe-old

Тунель OpenVPN работает. Сети за pf1 и за pf2 спокойно видятся и работают все сервисы. За pf2 у меня серверы, за за pf1 у меня рабочие станции. Вывод: маршрутизация в тунеле работает нормально.
По поводу правил фарвола, анализировал логи - все пропускает. Мне кажется нужно рыть в сторону NAT и может быть Proxy ARP, но уже и там пробовал разобраться - чтото не выходит.

maybe-old

Еще в догонку, пояснение, клиент RDP подключается из ВНЕ на WAN pf2 и должен попасть на сервер за pf1. Как я понимаю, нужно рыть только на pf2. Что бы клиент уходил в тунель.

werter

2 maybe-old

Мил человек, Вы это проверили ?

А этому клиенту маршрут в подсеть pf1 при поднятие openvpn отдается ?

Покажие route print (ком. строка от имени Адм-ра!) на проблемном клиенте после поднятия туннеля.

maybe-old

Так как клиент RDP в WAN, ВООБЩЕ снаруже, то маршрут сдесь ни причем.

РЕШЕНИЕ для потомков.
Все так решил задачу:
Создаем Virtual IP на LAN , с ip 192.168.111.254 из подсети pf2.
NAT: Outbound переводим в гибрид и добавляем.
OpenVPN any tcp/* 192.168.2.0/24 tcp/* 192.168.111.254 * YES

Можно явно указать порты, например порт RDP.

И теперь клиент из интернет подключается по RDP на pf2, попадает в тунель между pf1 и pf2, и попадает на сервер за pf1.

ВСЕМ СПАСИБО ЗА УЧАСТИЕ.

werter

Можно явно указать порты, например порт RDP.

Не можно, а нужно. Иначе весь tcp-трафик завернете один ip.

Зы. Я бы с proxy arp заморочился.