The pfSense Store

Author Topic: OpenVPN, внешний доступ к серверу филиала  (Read 269 times)

0 Members and 1 Guest are viewing this topic.

Offline Semen

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Всем привет.

Головной офис (192.168.1.0\24) и филиал ((192.168.0.0\24)) соединены по vpn, стоит задача настроить внешнее подключение по 80 порту к серверу филиала через ip головного офиса.
Порт пробросил, но не доступа. Внутри сети все работает. Прошу помочь.

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1711
  • Karma: +216/-2
    • View Profile
Re: OpenVPN, внешний доступ к серверу филиала
« Reply #1 on: November 29, 2017, 02:16:53 am »
Тоже интересно.
В свое время стояла такая же задача.
Не работает оно потому, что ВЕБ-сервер, получив извне запрос c внешнего IP через проброшенный порт отправляет ответ в свой шлюз по умолчанию, а не в туннель OpenVPN.
Задача так и осталась нерешенной, т.к. необходимость в ней отпала.
Напрашивается  решение с использованием NAT, IMHO.
« Last Edit: November 29, 2017, 02:28:41 am by pigbrother »

Offline Semen

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: OpenVPN, внешний доступ к серверу филиала
« Reply #2 on: November 29, 2017, 03:43:36 am »
Спасибо за ответ. А можно подробнее про решение через NAT?

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1711
  • Karma: +216/-2
    • View Profile
Re: OpenVPN, внешний доступ к серверу филиала
« Reply #3 on: November 29, 2017, 04:25:39 am »
Спасибо за ответ. А можно подробнее про решение через NAT?
Это не решение, это мысли вслух, решения у меня нет. Смысл - транслировать входящий IP в IP OVPN, чтобы ВЕБ-сервер знал, куда отвечать.

Вот короткое обсуждение без решения на serverfault
https://serverfault.com/questions/458405/how-can-i-port-forward-over-a-vpn-nat
« Last Edit: November 29, 2017, 05:19:20 am by pigbrother »

Offline Semen

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile
Re: OpenVPN, внешний доступ к серверу филиала
« Reply #4 on: November 29, 2017, 06:34:10 am »
Спасибо за ответ. А можно подробнее про решение через NAT?
Это не решение, это мысли вслух, решения у меня нет. Смысл - транслировать входящий IP в IP OVPN, чтобы ВЕБ-сервер знал, куда отвечать.

Вот короткое обсуждение без решения на serverfault
https://serverfault.com/questions/458405/how-can-i-port-forward-over-a-vpn-nat

Еще раз спасибо).

Offline werter

  • Hero Member
  • *****
  • Posts: 4934
  • Karma: +234/-14
    • View Profile
Re: OpenVPN, внешний доступ к серверу филиала
« Reply #5 on: November 29, 2017, 07:08:03 am »
Доброе.
proxy arp пробовали ?

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1711
  • Karma: +216/-2
    • View Profile
Re: OpenVPN, внешний доступ к серверу филиала
« Reply #6 on: November 29, 2017, 07:13:27 am »
proxy arp пробовали ?

IMHO, с tun между точками это врядли актуально.

Offline werter

  • Hero Member
  • *****
  • Posts: 4934
  • Karma: +234/-14
    • View Profile

Offline Semen

  • Newbie
  • *
  • Posts: 4
  • Karma: +0/-0
    • View Profile

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1711
  • Karma: +216/-2
    • View Profile
Re: OpenVPN, внешний доступ к серверу филиала
« Reply #9 on: November 30, 2017, 07:37:53 am »
Ув. werter спасибо за ссылку.

Спасибо, буду разбираться.

Да, там есть в чем разбираться, автор создал явно избыточный тестовый стенд.  Если не трудно - отпишитесь о результате.

Offline werter

  • Hero Member
  • *****
  • Posts: 4934
  • Karma: +234/-14
    • View Profile
Re: OpenVPN, внешний доступ к серверу филиала
« Reply #10 on: December 14, 2017, 02:03:53 am »
Доброго.
Возвращаясь к теме.

А что если:

Объявить впн-интерфейс явно.
При создании правила проброса порта Firewall / NAT / Port Forward / Edit  где Filter rule association выбрать none.
Руками создать правило fw на WAN для пробрасываемого порта, где в Gateway явно указать впн-интерфейс, а в Destination указать адрес и порт сервера в удаленной сети.
Возможно, прийдется руками добавить еще и правило в Firewall / NAT / Outbound для впн-интерфейса.