У меня есть многосайтовый VPN, в настоящее время работающий с ящиками pfSense и использующий OpenVPN. Однако при необходимости я могу изменить ОС и тип VPN.
Основной маршрутизатор имеет подсеть 10.13.0.0/16 и ряд общедоступных IP-адресов.
Например, в филиале есть подсеть 10.12.1.0/24.
Как я могу перенаправить трафик NAT с общедоступного IP-адреса основного маршрутизатора на сервер за NAT второго? Так, например, порт 95 на общедоступном IP-адресе, назначенном главному маршрутизатору, перенаправляет на 10.12.1.102 на другом маршрутизаторе.
Это вообще возможно? В настоящее время моя установка отлично работает, но только для внутреннего трафика
Вы будете использовать NAT 1: 1 для сопоставления общедоступного IP-адреса с частным IP-адресом. Теоретически вы можете объединить несколько слоев NAT 1: 1. Например:
1.1.1.1 ---[1:1 NAT]---> 2.2.2.2 ---[1:1 NAT]---> 3.3.3.3
Или, если вы хотите, чтобы за двумя маршрутизаторами находился только один порт, то же самое можно сделать с помощью простых правил переадресации портов. Пример:
1.1.1.1:95 ---[port forward]---> 2.2.2.2:95 ---[port forward]---> 3.3.3.3:95
Блоки pfSense будут поддерживать таблицы сеансов и точно перемещать трафик туда и обратно через множественные пересылки.
Все, что вам нужно, это сделать переадресацию порта с обоих ваших маршрутизаторов
Давайте назовем интерфейс вашего маршрутизатора для облегчения объяснения
10.12.0.0/16 router : Router-1
WAN interface: Router-1-ext (this should have a public IP)
LAN interface: Router-1-int (this should have a 10.13.x.x IP)
10.12.1.0/16 router : Router-2
WAN/NAT interface: Router-2-ext (this should have a 10.13.x.x IP) * *
LAN interface: Router-2-int (this should have a 10.12.x.x IP)
Маршрутизатор-1
pf.conf добавить следующее правило переадресации портов
pass in on <Router-1-ext> proto tcp from any to any port 90 rdr-to <Router-2-ext IP>
Маршрутизатор-2
pf.conf добавить следующее правило переадресации портов
pass in on <Router-2-ext> proto tcp from any to any port 90 rdr-to 10.12.1.102
Перенаправление портов способом pfsense (Полегче)
Вы также можете сделать это в интерфейсе pfsense, официальная инструкция Вот.
Идея та же, порт Router-1 перенаправляет на Router-2, порт Router-2 перенаправляет на целевой сервер.
PS: Если ваш маршрутизатор-2 - маршрутизатор-1 VPN подключен к Интернету, интерфейс Router-2-ext выше должен ссылаться на Точка-точка VPN интерфейс, НЕ физический интерфейс WAN с общедоступным IP.