У меня есть конкретный хост, к которому мне нужно подключиться по ssh (назовите его «работа»). У меня есть статический IP-адрес в местоположении моего клиента (назовите его «клиент»), чтобы разрешить доступ к этому удаленному «рабочему» полю.
Затем люди на «работе» создали правило брандмауэра, чтобы разрешить моему «клиенту» статический IP-адрес в их сети.
Это, конечно, означает, что если я путешествую, я НЕ смогу попасть в свою «рабочую» сеть, так как на моем клиентском сайте у меня будет другой IP, чем мой статический.
Я включил ящик PFSense 2.2.3 с OpenVPN (на клиентском сайте)
Как я смогу устанавливать безопасные соединения, маршрутизируемые через мой «клиентский» ящик (со статическим IP-адресом), что позволит мне установить безопасное соединение с моим «рабочим» ящиком? (Таким образом, это будет выглядеть так, как будто я исхожу со статического IP-адреса клиента)
Поскольку у вас есть статический IP-адрес на «клиенте» ... (я уверен, что это также IP-адрес вашего PFSense?)
Просто установите Перенаправление порта (также называется маскировка IP) на вашем PFSense. Так же вы переходите из статического общедоступного сокета (общедоступный IP-адрес и порт) вашего pfsense в частный сокет (IP-адрес и порт LAN) «клиентского» окна.
Таким образом, вы сможете подключиться к «клиенту» в дороге. Как только вы подключите SSH к «клиенту», вы также сможете использовать SSH для «работы».
Это также будет работать напрямую, связывая соединения следующим образом:
ssh -t <client-ip> -p <port-if-not-22> -l <user> ssh <work-ip>
Также вы можете настроить «клиент» в качестве прокси (поиск man 5 ssh_config для ProxyCommand) в ~/.ssh/config. Если справочной страницы недостаточно, Google сделает это.
Одно из возможных решений - использовать NAT для исходящего трафика в вашем блоке pfsense. Исходящий NAT настраивается в разделе Брандмауэр> NAT на вкладке Исходящий. Ссылаться на Вот для подробностей