Назад | Перейти на главную страницу

Не могу получить доступ к IP-адресам в моей стране. pfSense показывает, что пакеты попадают в WAN

У меня есть брандмауэр pfSense, у которого есть WAN с несколькими общедоступными IP-адресами. Я использую NAT для перенаправления определенных внешних IP-адресов на внутренние IP-адреса.

Я могу подключиться из любого места, кроме страны. Когда кто-либо в моей стране пытается подключиться к любому внешнему IP-адресу и порту, им это не удается. Я перехватил пакеты через интерфейс WAN и вижу, как они поступают.

Я дважды проверил, и действительно существует правило WAN, которое разрешает доступ к портам через NAT через серверы, которые я намереваюсь использовать. У нас нет проверки географического IP-адреса или каких-либо правил на основе IP-адресов для блокировки трафика на эти серверы.

- Я заметил разницу между рабочими соединениями и нерабочими соединениями

Использование захвата пакетов в pfSense (заменил некоторые числа на ###. ###, которые являются одинаковыми числами для всех)

Non working connection:    
22:26:25.140803 IP 190.150.206.159.50852 > 190.###.###.2.80: tcp 0
22:26:25.140828 ARP, Request who-has 190.150.206.159 tell 190.###.###.3, length 28

Working Connection:
22:24:26.164293 IP 24.189.161.72.5550 > 190.###.###.2.80: tcp 0
22:24:26.164305 IP 190.###.###.2.80 > 24.189.161.72.5550: tcp 1460

Другое подключение с компьютера через другой порт к другому IP-адресу WAN (тот же PFSense)

Non Working computer
09:39:05.612067 IP 190.87.162.111.2463 > 190.###.###.4.3389: tcp 0
09:39:08.610073 IP 190.87.162.111.2463 > 190.###.###.4.3389: tcp 0
09:39:14.608856 IP 190.87.162.111.2463 > 190.###.###.4.3389: tcp 0

Working Computer
09:41:04.412975 IP 68.196.25.71.60666 > 190.###.###.4.3389: tcp 85
09:41:04.459077 IP 190.###.###.4.3389 > 68.196.25.71.60666: tcp 0
09:41:04.492887 IP 68.196.25.71.60666 > 190.###.###.4.3389: tcp 101
09:41:04.537100 IP 190.###.###.4.3389 > 68.196.25.71.60666: tcp 0
09:41:06.177903 IP 190.###.###.4.3389 > 68.196.25.71.60666: tcp 101
09:41:06.309178 IP 68.196.25.71.60666 > 190.###.###.4.3389: tcp 0

Я вижу в брандмауэре, что это разрешено, но я не могу понять, что его блокирует.

Спасибо @ dusan.bajic за направление.

Маска подсети на виртуальных IP-адресах

190.###.###.6/8
190.###.###.5/8
190.###.###.4/8
190.###.###.3/8

Изменил их все на 

190.###.###.6/24
190.###.###.5/24
190.###.###.4/24
190.###.###.3/24

что имеет гораздо больше смысла. теперь внешние IP не будут считаться внутренними и все работает.