Назад | Перейти на главную страницу

Невозможно получить доступ к внутренней сети через порт WAN PfSense

Наш филиал по какой-то причине не может подключиться к нашей внутренней сети. Однако мы можем подключиться к контроллеру домена филиала из-за PfSense. Вот наша установка:

                    |Branch DC - 192.168.0.101
                    |
                    |Branch Firewall - 192.168.0.2
                    |
                    |(Internet)
                    |
                    |Local Firewall - 192.168.3.1
                    |
                    |PFSense WAN port - 192.168.3.100
                    |PFSense LAN port - 192.168.1.1
                    |
                    |
   DC1 - 192.168.1.2|DC2 - 192.168.1.4

Branch DC может проверить связь и успешно подключиться к PFSense WebGUI через порт WAN (мы настроили это с помощью документации PfSense).
DC1 и DC2 могут подключаться к DC филиала в исходящем режиме.

Похоже, есть правило, запрещающее внутренний доступ к порту WAN. Однако наши правила разрешают весь трафик через порты LAN и WAN. Было бы идеально просто полностью отключить брандмауэр, поскольку у нас уже есть брандмауэр, но когда мы это делаем, PfSense вообще не пропускает внутренний трафик. Я рассчитываю на любую помощь и заранее благодарю вас.

Не видя ваших правил pfsense, я склоняюсь к тому, чтобы сказать «Работает как задумано» - большинство брандмауэров настроены таким образом, чтобы люди снаружи (порт WAN) не могли получить доступ к ресурсам внутри (порт LAN).

Если вы хотите впустить людей извне, вам нужно либо пробить дыры в брандмауэре (включая NAT 1: 1 или перенаправление портов, если вы используете NAT), либо настроить VPN. Последнее - лучшее решение почти во всех случаях ...

Поскольку вы используете pfsense только для внутренних сетей (без подключения к Интернету напрямую), вам следует отключить трансляцию сетевых адресов. Внутренний NAT - плохая идея (тм).

Из веб-интерфейса pfsense: «Чтобы полностью отключить NAT для исходящего трафика, переключитесь на NAT для исходящего трафика вручную, затем удалите все правила NAT, которые отображаются в списке». (можно найти в Firewall -> NAT -> Outbound)

Кроме того, вам необходимо убедиться, что a) Branch имеет маршрут для 192.168.1.0/24 b) pfSense имеет маршрут к 192.168.0.0/24 (Branch)

Поскольку voretaq7 предлагает межсайтовый VPN, хорошее решение в вашем случае.

Вот - отличный пример VPN-соединения между Sonicwall и pfSense. Если вы используете какие-либо другие брандмауэры, настройки будут более или менее такими же.

Если вам нужна дополнительная помощь в настройке vpn между сайтами, не стесняйтесь возвращаться.