эксперт версия
я хочу создать маршрут в pfSense, который будет отправлять трафик из физическая WAN порт, а не PPPoE WAN порт. я хочу поговорить с веб-сервером на моем модеме DSL; позволяя мне видеть текущую скорость синхронизации и поля SnR. Модем не видит пакетов, предназначенных для него, потому что они передаются через PPPoE туннель.
долго версия
мой маршрутизатор pfSense отвечает за настройку соединения PPPoE через DSL к моему интернет-провайдеру. Когда машина в локальной сети хочет отправлять пакеты в интернет, маршрут по умолчанию отправляет пакеты через PPPoE подключение. Эти пакеты, завернутые в PPPoE заголовок, отправляются по кабелю ethernet на мой DSL модем. Оттуда они отправляются провайдером, и интернет в целом.
+----------------------+ +----------------------+
|IPv4 header (20 bytes)| +--------+ |PPPoE header (8 bytes)| +-----+ {‾‾‾‾‾‾‾‾}
| |===>|pfSense |===>|IPv4 header (20 bytes)|===>|Modem|===>{Internet}
| | +--------+ | | +-----+ {________}
| | | |
+----------------------+ +----------------------+
я хочу способ отправить пакет из Сам порт WAN-не Порт PPPoE WAN.
мой модем сидит там, с интерфейсом http, где я могу контролировать
- скорость соединения
- отношение сигнал / шум
- ширина полосы
- подключение
всякий раз, когда я пытаюсь задать маршрут для назначения 192.168.2.1
(IP, который модем будет слушать для HTTP-запросов), чтобы выйти из WAN порт, они вместо этого выходят the PPPoE порт.
разница в том, что они завернуты в пакет протокола PPPoE, и модем не отправляет пакет, он доставляется провайдеру.
учитывая, что pfSense не имеет возможности направлять трафик из физического порта WAN: как я могу направить трафик из физического порта WAN на pfSense?
вот точно такой же вопрос я задал 3 года назад на pfSense форум:
мой модем имеет web интерфейс. Это удобно, потому что я вижу, действительно ли он подключен или нет, шум линии, частота ошибок и т. д.
если я подключу модем к моему destop ПК (а не к pfSense ПК), я могу пинговать и просматривать веб-интерфейс модема отлично. IP-адрес модема 192.168.0.254, и прослушивает порт 8080. я также могу пакет трассировки активности с моего компьютера:
пингуется модем
ARP REQ Phalanx => Broadcast 192.168.0.98 -?- 192.168.0.254
ARP RESP Phalanx <= Ovislink_LAN 192.168.0.254 -!- 192.168.0.98
IP/ICMP Phalanx => Ovislink_LAN 192.168.0.98 => 192.168.0.254 ECHO
IP/ICMP Phalanx <= Ovislink_LAN 192.168.0.98 <= 192.168.0.254 ECHOREPLY
вы может видеть, что моя машина делает широковещание ARP, запрашивая MAC-адрес модема (Ovislink). Модем отвечает своим IP, Эхо гаснет, и я получаю ответ. Аналогичную деталь можно увидеть при подключении к веб-порту модема:
подключение к веб-порту 8080
ARP REQ Phalanx => Broadcast 192.168.0.98 -?- 192.168.0.254
ARP RESP Phalanx <= Ovislink_LAN 192.168.0.254 -!- 192.168.0.98
IP/TCP Phalanx => Ovislink_LAN 192.168.0.98:50001 => 192.168.0.254:8080 SYN
IP/TCP Plalanx <= Ovislink_LAN 192.168.0.98:50001 <= 192.168.0.254:8080 SYNACK
IP/TCP Phalanx => Ovislink_LAN 192.168.0.98:50001 => 192.168.0.254:8080 ACK
после запроса ARP устанавливается TCP-соединение с обычным процессом SYN, SYN ACK, ACK. И все идет хорошо.
теперь, вместо подключения модем к своему ПК, я подключаю его к ПК под управлением pfSense.
Примечание: ранее я изменил IP-адрес локальной сети pfSense на 192.168.1.1/16
, а не 192.168.1.1/24
. Это потому, что моя сеть была уже 192.168.0.0/16
.
Первое, что я делаю, это отключить "блокировать частные сети" функции под Interfaces->WAN
, так как интерфейс локальной сети моего модема работает как 192.168.0.254
. При этом удаляется первая запись брандмауэра в Firewall->Rules
что было блокировка всего трафика RFC1918. Затем я добавил правило брандмауэра:
действие: Pass
интерфейс: WAN
протокол: TCP
источник: один хост или псевдоним, 192.168.0.254
назначение: подсеть LAN
Диапазон Портов Назначения: любой
Журнал Пакетов: Да
описание: ADSL модем
после сохранения и применения моих изменений я попытался использовать Diagnostics->Ping
функция ping 192.168.0.254
на стороне WAN. Это, конечно, не сработало.
я думал об этом, и мне кажется, что я не могу просто разрешить TCP-пакеты в глобальной сети из 192.168.0.254
, мне также нужно разрешить пакеты ответа ARP (как еще pfSense может найти MAC-адрес оборудования, на которое он пытается отправить IP-пакет?). Оно также мне пришло в голову, что я не могу сказать LAN в качестве назначения, потому что на самом деле это интерфейс WAN. Поэтому я обновил правило брандмауэра до:
действие: Pass
интерфейс: WAN
протокол: любой
источник: один хост или псевдоним, 192.168.0.254
назначение: любой
Диапазон Портов Назначения: любой
Журнал Пакетов: да
описание: ADSL модем
теперь, когда я проверяю его...не работает. Ничего удивительного. Поэтому я решил запустить трассировку пакетов:
интерфейс: WAN
Адрес Сайта: 192.168.0.254
Count: 1
уровень детализации: полное
я начал трассировка, сделал пинг от Diagnostics->Ping
и вам...ничего. Нет ответа ping и нет пакетов в трассировке.
так вот теперь мне приходит в голову, что просто так:
- pfSense на
192.168.1.1/16
subet - мой рабочий стол находится на
192.168.0.98/16
подсети - мой сервер на
192.168.0.10/16
подсети
может быть модем не на /16
подсети. я снова подключаю модем к рабочему столу, подключаюсь к веб-интерфейсу и вижу, что он настроен на 192.168.0.254/24
. Поэтому я перенастраиваю модем на 192.168.1.254/24
. я потом перенастрою
- мой рабочий стол должен быть
192.168.1.98
, - сервер
192.168.1.10
, - а теперь модем
192.168.1.254
- в дополнение к pfSense быть
192.168.1.1
.
я снова подключаю модем к коробке pfSense, пытаюсь пропинговать его, и я получаю ... нет ответа. я делаю трассировку пакетов для пакетов 192.168.1.254
и я вижу...никто.
так что теперь я в тупике, и прошу тебя о помощи.