pfSense: как направить трафик через порт WAN?


эксперт версия

я хочу создать маршрут в pfSense, который будет отправлять трафик из физическая WAN порт, а не PPPoE WAN порт. я хочу поговорить с веб-сервером на моем модеме DSL; позволяя мне видеть текущую скорость синхронизации и поля SnR. Модем не видит пакетов, предназначенных для него, потому что они передаются через PPPoE туннель.


долго версия

мой маршрутизатор pfSense отвечает за настройку соединения PPPoE через DSL к моему интернет-провайдеру. Когда машина в локальной сети хочет отправлять пакеты в интернет, маршрут по умолчанию отправляет пакеты через PPPoE подключение. Эти пакеты, завернутые в PPPoE заголовок, отправляются по кабелю ethernet на мой DSL модем. Оттуда они отправляются провайдером, и интернет в целом.

+----------------------+                  +----------------------+    
|IPv4 header (20 bytes)|    +--------+    |PPPoE header (8 bytes)|    +-----+    {‾‾‾‾‾‾‾‾}
|                      |===>|pfSense |===>|IPv4 header (20 bytes)|===>|Modem|===>{Internet}
|                      |    +--------+    |                      |    +-----+    {________}
|                      |                  |                      |
+----------------------+                  +----------------------+

я хочу способ отправить пакет из Сам порт WAN-не Порт PPPoE WAN.

мой модем сидит там, с интерфейсом http, где я могу контролировать

  • скорость соединения
  • отношение сигнал / шум
  • ширина полосы
  • подключение

всякий раз, когда я пытаюсь задать маршрут для назначения 192.168.2.1 (IP, который модем будет слушать для HTTP-запросов), чтобы выйти из WAN порт, они вместо этого выходят the PPPoE порт.

разница в том, что они завернуты в пакет протокола PPPoE, и модем не отправляет пакет, он доставляется провайдеру.

учитывая, что pfSense не имеет возможности направлять трафик из физического порта WAN: как я могу направить трафик из физического порта WAN на pfSense?


вот точно такой же вопрос я задал 3 года назад на pfSense форум:

мой модем имеет web интерфейс. Это удобно, потому что я вижу, действительно ли он подключен или нет, шум линии, частота ошибок и т. д.

если я подключу модем к моему destop ПК (а не к pfSense ПК), я могу пинговать и просматривать веб-интерфейс модема отлично. IP-адрес модема 192.168.0.254, и прослушивает порт 8080. я также могу пакет трассировки активности с моего компьютера:

пингуется модем

ARP REQ    Phalanx => Broadcast     192.168.0.98  -?- 192.168.0.254
ARP RESP   Phalanx <= Ovislink_LAN  192.168.0.254 -!- 192.168.0.98
IP/ICMP    Phalanx => Ovislink_LAN  192.168.0.98  =>  192.168.0.254 ECHO
IP/ICMP    Phalanx <= Ovislink_LAN  192.168.0.98  <=  192.168.0.254 ECHOREPLY

вы может видеть, что моя машина делает широковещание ARP, запрашивая MAC-адрес модема (Ovislink). Модем отвечает своим IP, Эхо гаснет, и я получаю ответ. Аналогичную деталь можно увидеть при подключении к веб-порту модема:

подключение к веб-порту 8080

ARP REQ     Phalanx => Broadcast    192.168.0.98       -?- 192.168.0.254
ARP RESP    Phalanx <= Ovislink_LAN 192.168.0.254      -!- 192.168.0.98
IP/TCP      Phalanx => Ovislink_LAN 192.168.0.98:50001 =>  192.168.0.254:8080 SYN
IP/TCP      Plalanx <= Ovislink_LAN 192.168.0.98:50001 <=  192.168.0.254:8080 SYNACK
IP/TCP      Phalanx => Ovislink_LAN 192.168.0.98:50001 =>  192.168.0.254:8080 ACK

после запроса ARP устанавливается TCP-соединение с обычным процессом SYN, SYN ACK, ACK. И все идет хорошо.

теперь, вместо подключения модем к своему ПК, я подключаю его к ПК под управлением pfSense.

Примечание: ранее я изменил IP-адрес локальной сети pfSense на 192.168.1.1/16, а не 192.168.1.1/24. Это потому, что моя сеть была уже 192.168.0.0/16.

Первое, что я делаю, это отключить "блокировать частные сети" функции под Interfaces->WAN, так как интерфейс локальной сети моего модема работает как 192.168.0.254. При этом удаляется первая запись брандмауэра в Firewall->Rules что было блокировка всего трафика RFC1918. Затем я добавил правило брандмауэра:

действие: Pass

интерфейс: WAN

протокол: TCP

источник: один хост или псевдоним, 192.168.0.254

назначение: подсеть LAN

Диапазон Портов Назначения: любой

Журнал Пакетов: Да

описание: ADSL модем

после сохранения и применения моих изменений я попытался использовать Diagnostics->Ping функция ping 192.168.0.254 на стороне WAN. Это, конечно, не сработало.

я думал об этом, и мне кажется, что я не могу просто разрешить TCP-пакеты в глобальной сети из 192.168.0.254, мне также нужно разрешить пакеты ответа ARP (как еще pfSense может найти MAC-адрес оборудования, на которое он пытается отправить IP-пакет?). Оно также мне пришло в голову, что я не могу сказать LAN в качестве назначения, потому что на самом деле это интерфейс WAN. Поэтому я обновил правило брандмауэра до:

действие: Pass

интерфейс: WAN

протокол: любой

источник: один хост или псевдоним, 192.168.0.254

назначение: любой

Диапазон Портов Назначения: любой

Журнал Пакетов: да

описание: ADSL модем

теперь, когда я проверяю его...не работает. Ничего удивительного. Поэтому я решил запустить трассировку пакетов:

интерфейс: WAN

Адрес Сайта: 192.168.0.254

Count: 1

уровень детализации: полное

я начал трассировка, сделал пинг от Diagnostics->Ping и вам...ничего. Нет ответа ping и нет пакетов в трассировке.

так вот теперь мне приходит в голову, что просто так:

  • pfSense на 192.168.1.1/16 subet
  • мой рабочий стол находится на 192.168.0.98/16 подсети
  • мой сервер на 192.168.0.10/16 подсети

может быть модем не на /16 подсети. я снова подключаю модем к рабочему столу, подключаюсь к веб-интерфейсу и вижу, что он настроен на 192.168.0.254/24. Поэтому я перенастраиваю модем на 192.168.1.254/24. я потом перенастрою

  • мой рабочий стол должен быть 192.168.1.98,
  • сервер 192.168.1.10,
  • а теперь модем 192.168.1.254
  • в дополнение к pfSense быть 192.168.1.1.

я снова подключаю модем к коробке pfSense, пытаюсь пропинговать его, и я получаю ... нет ответа. я делаю трассировку пакетов для пакетов 192.168.1.254 и я вижу...никто.

так что теперь я в тупике, и прошу тебя о помощи.

20
задан Ian Boyd
03.03.2023 11:33 Количество просмотров материала 2694
Распечатать страницу

5 ответов

Я думаю, что мне удалось сделать то, что вы просили. Необходимо будет добавить интерфейс, шлюз и правило для маршрутизации трафика к тому шлюзу для диапазона IP вашего модема.

Мои настройки: Миллиард маршрутизатор подключен к телефонному кабелю-устанавливается в режиме моста. маршрутизатор pfsense подключен к маршрутизатору billion через кабель lan. версия pfsense 2.1.5

pfsense настроен на 3 интерфейса:

  • WAN-PPPOE over re0 (настройка в процессе настройки wizard)
  • LAN - dhcp host over em0 с dhcp назначением IP-адресов между 192.168.1.128 и 192.168.1.192 (настройка в рамках мастера установки)
  • MODEMACCESS - DHCP клиент через re0 (пришлось добавлять вручную после установки)

шлюзы:

  • GW_WAN-interface = WAN; IP-адрес шлюза = динамический; шлюз по умолчанию
  • MODEMACCESS_DHCP - интерфейс = MODEMACCESS ; IP-адрес шлюза = DHCP-сервер; не по умолчанию шлюз

правила:

  • под WAN у меня обычные 2 блока и пасс все, gatway = default
  • под локальной сетью у меня есть 192.168.1.1 / 24 источника и 192.168.1 / 24 правила блокировки назначения и несколько правил назначения очереди от 192.168.1.х !192.168.1.x, gateway = по умолчанию
  • под источником MODEMACCESS 192.168.1.1 / 24 к назначению 10.0.0.2 / 24 с шлюз MODEMACCESS_DHCP

IPs для устройства:

  • миллиард IP маршрутизатора 10.0.0.2
  • pfsense LAN ip: 192.168.1.1
  • pfsense Ван публичный IP определяется РРРоЕ
  • pfsense MODEMACCESS IP определяется миллиард DHCP-сервер

Я могу получить доступ к веб-интерфейсу billion router, набрав 10.0.0.2 (или имя хоста) в любом браузере на любом ПК в локальной сети. Я могу получить доступ к интернету на любом устройстве, подключенном к локальной сети (через соединение PPPOE на pfsense.

2
отвечен Walter Aldum 2023-03-04 19:21

Не уверен, что это возможно с DSL... Можно ли создать правило брандмауэра только с параметрами WAN? Другими словами, перейти к файервол > правила > WAN и создаем правило. Убедитесь, что трафик не включает PPPoE, т. е. LAN > WAN.

2
отвечен nicorellius 2023-03-04 21:38

звучит для меня, как ваш маршрутизатор находится в режиме моста, и что маршрутизатор pfSense настроен с идентификатором клиента PPPoE, чтобы получить ваш публичный IP от провайдера напрямую. Убедитесь, что маршрутизатор не находится в режиме моста и настроен как dhcp-сервер. Затем скажите pfSense получить его WAN IP по DHCP.

Это действительно просто предположение...

1
отвечен seagullarity 2023-03-04 23:55

мой ответ может быть похож на то, что другие выложили. Но я думаю, что это (https://doc.pfsense.org/index.php/Accessing_modem_from_inside_firewall) ответит на ваш вопрос

1
отвечен getack 2023-03-05 02:12

чтобы настроить это, вам понадобится коммутатор для подключения модема. В PFSense межсетевой экран будет подключить в коммутатор с двумя портами. Сначала один порт будет отображаться как порт OPT, но его можно переименовать. Брандмауэр будет использовать соединение PPPoE в качестве WAN-интерфейса, но вы можете маршрутизировать к модему через интерфейс opt.

0
отвечен user311628 2023-03-05 04:29

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх