Назад | Перейти на главную страницу

Маршрутизация определенных HTTP-запросов через pfSense OpenVPN

Для начала, у меня очень мало знаний о маршрутах, iptables и т. д. Тем не менее, вот что я пытаюсь достичь и в чем, я думаю, я в тупике:

Проблема: у нас есть внешний веб-сайт, который мы недавно заблокировали брандмауэром, поэтому он принимает трафик только с IP-адресов нашего офиса. Это хорошо работает в офисе, но не работает для удаленного доступа через VPN, поскольку мы не маршрутизируем весь трафик через OpenVPN. Я бы предпочел не заставлять всех направлять весь трафик только для того, чтобы разместить этот сайт.

Среда: основной маршрутизатор работает под управлением pfSense. Em0 - внутренний IP, Em1 - внешний. Внутренняя сеть - 10.23.x, VPN - 10.0.8.0/24.

Я считаю, что мне нужно добавить маршрут в конфигурацию VPN-сервера для отправки всего трафика на этот IP-адрес через VPN-туннель. Я думаю, что эта часть работает, но я не получаю ответа, поэтому предполагаю, что мне нужна какая-то конфигурация NAT на VPN-сервере, чтобы направить ответ обратно через туннель?

Что я нашел до сих пор, так это попробовать следующее, но поскольку это ящик pfSense на FreeBSD, я не могу запускать iptables и т. Д.

Убедитесь, что переадресация ip включена: echo 1> / proc / sys / net / ipv4 / ip_forward

Настройте NAT обратно: iptables -t nat -A POSTROUTING -s 10.0.8.0/24 -o em0 -j MASQUERADE

На правильном ли я пути, и если да, то как мне добиться этого с помощью пользовательского интерфейса pfSense или интерфейса командной строки FreeBSD? Спасибо!

Понял! Мы с коллегой добились успеха (пока).

XXX.XXX.XXX.XXX = IP-адрес конкретного сайта, который мы хотели маршрутизировать через VPN.

Решение:

  1. VPN> OpenVPN> Сервер> Изменить> Пользовательские параметры: нажмите «routeXXX.XXX.XXX.XXX»;
  2. Брандмауэр> NAT> Исходящий>
    • Выберите Manual Outbound NAT (AON).
    • Добавьте 2 маршрута ниже:
      • Интерфейс Источник SrcPort Назначение DestPort NATAddr NATPort StaticPort
      • WAN 10.23.23.0/24 * * * * * НЕТ
      • WAN 10.0.8.0/24 * XXX.XXX.XXX.XXX/32 * * * НЕТ
  3. Прибыль ;-)

Шаг 3 необязательный.

Рад, что ты решил это! Другой способ - сделать внешний сервер частью VPN. Затем просто установите для серверов новый IP-адрес VPN вместо общедоступного IP-адреса. Таким образом, весь административный доступ к внешнему серверу также осуществляется через VPN. Плюс никаких особых маршрутов или правил NAT.