Вопросы Теги

pfSense: Как направить трафик порт WAN?

Опытная версия

я хочу создать маршрут в pfSense, который отправит трафику физический порт WAN, не порт PPPoE WAN. я хочу говорить с веб-сервером на своем модеме DSL; разрешение мне видеть текущий синхронизирующий уровень и поля SnR. Модем не видит пакеты, предназначенные для него, потому что они отправляются через туннель PPPoE.

Долгая версия

Мой pfSense маршрутизатор ответственен за установку соединения PPPoE по DSL к моему ISP. Когда машина на LAN хочет к отправленным пакетам к Интернету, маршрут по умолчанию отсылает пакеты по соединению PPPoE. Те пакеты, перенесенные в заголовок PPPoE, отправляются на кабеле Ethernet на мой модем DSL. Оттуда они отправляются ISP и Интернет в целом.

+----------------------+                  +----------------------+    
|IPv4 header (20 bytes)|    +--------+    |PPPoE header (8 bytes)|    +-----+    {‾‾‾‾‾‾‾‾}
|                      |===>|pfSense |===>|IPv4 header (20 bytes)|===>|Modem|===>{Internet}
|                      |    +--------+    |                      |    +-----+    {________}
|                      |                  |                      |
+----------------------+                  +----------------------+

я хочу способ отправить пакету сам порт WAN - не порт PPPoE WAN.

Мой модем находится там с интерфейсом http, где я могу контролировать

  • скорость соединения
  • отношение сигнал-шум
  • пропускная способность
  • время соединения

Каждый раз, когда я пытаюсь установить маршрут для места назначения 192.168.2.1 (IP, который модем будет слушать для Запросов HTTP) для выхода порта WAN они вместо этого заканчивают тем, что вышли порт PPPoE.

Так как различие - это, они перенесены в пакет протокола PPPoE, и модем не отправляется пакет, это поставляется ISP.

Учитывая, что pfSense не имеет никакой способности направить трафик физический порт WAN: как может я направлять трафик физический порт WAN на pfSense?

Вот тот же самый вопрос, который я задал 3 года назад на pfSense форуме:

Мой модем имеет веб-интерфейс. Это удобно, потому что я вижу, соединено ли это на самом деле или нет, шум в линии, коэффициенты ошибок, и т.д.

Если я подключаю модем к своему destop ПК (а не с pfSense ПК), я могу проверить с помощью ping-запросов и просмотреть прекрасный веб-интерфейс модема. IP модема 192.168.0.254 и слушает на порте 8080. я также могу пакет прослеживать действие от моего ПК:

Проверка с помощью ping-запросов модема 

ARP REQ    Phalanx => Broadcast     192.168.0.98  -?- 192.168.0.254
ARP RESP   Phalanx <= Ovislink_LAN  192.168.0.254 -!- 192.168.0.98
IP/ICMP    Phalanx => Ovislink_LAN  192.168.0.98  =>  192.168.0.254 ECHO
IP/ICMP    Phalanx <= Ovislink_LAN  192.168.0.98  <=  192.168.0.254 ECHOREPLY

Вы видите, что моя машина делает широковещательную передачу ARP, прося MAC-адрес модема (OvisLink). Модем отвечает своим IP, эхо выходит, и я получаю ответ. Подобная деталь видна, когда я соединяюсь с веб-портом модема:

Соединение с веб-портом 8080 

ARP REQ     Phalanx => Broadcast    192.168.0.98       -?- 192.168.0.254
ARP RESP    Phalanx <= Ovislink_LAN 192.168.0.254      -!- 192.168.0.98
IP/TCP      Phalanx => Ovislink_LAN 192.168.0.98:50001 =>  192.168.0.254:8080 SYN
IP/TCP      Plalanx <= Ovislink_LAN 192.168.0.98:50001 <=  192.168.0.254:8080 SYNACK
IP/TCP      Phalanx => Ovislink_LAN 192.168.0.98:50001 =>  192.168.0.254:8080 ACK

После запроса ARP соединение TCP устанавливается с нормальным SYN, SYN ACK, процесс ACK. И все хорошо.

Теперь, вместо того, чтобы подключить модем к моему настольному ПК, я подключаю его к ПК, который выполняет pfSense.

Примечание: Ранее, я изменил IP-адрес LAN pfSense, чтобы быть 192.168.1.1/16, вместо 192.168.1.1/24. Это вызвано тем, что моя сеть уже была 192.168.0.0/16.

Первая вещь, которую я делаю, отключают опцию "Block private networks" под Interfaces->WAN, так как интерфейс LAN моего модема работает как 192.168.0.254. Это удаляет первую запись брандмауэра под Firewall->Rules это блокировало весь трафик RFC1918. Затем я добавил правило брандмауэра:

Действие: передача
Интерфейс: WAN
Протокол: TCP
Источник: Единственный хост или псевдоним, 192.168.0.254
Место назначения: подсеть ЛВС
Диапазон целевого порта:любой
Пакеты журнала: да
Описание: модем ADSL

После сохранения и применения моих изменений я пытался использовать Diagnostics->Ping функция для проверки с помощью ping-запросов 192.168.0.254 на стороне WAN. Это, конечно, не работало.

я думал об этом, и мне кажется, что я не могу только позволить пакетам TCP войти в WAN от 192.168.0.254, я также должен позволить ответные пакеты ARP (как еще pfSense мог найти MAC-адрес аппаратных средств, в которые он пытается отправить пакет IP?). Мне также пришло в голову, что я не могу сказать, что LAN как место назначения, потому что это - на самом деле интерфейс глобальной сети, который это проверяет с помощью ping-запросов. Таким образом, я обновил правило брандмауэра к:

Действие: передача
Интерфейс: WAN
Протокол:любой
Источник: Единственный хост или псевдоним, 192.168.0.254
Место назначения:любой
Диапазон целевого порта:любой
Пакеты журнала: да
Описание: модем ADSL

Теперь, когда я проверяю с помощью ping-запросов его... не работает. Никакое реальное удивление там. Таким образом, я решил выполнить трассировку пакетов:

Интерфейс: WAN
Адрес узла: 192.168.0.254
Количество: 1
Уровень детализации: полный

я запустил трассировку, сделал ping от Diagnostics->Ping, и... ничего не получите. Никакой ответ ping и никакие пакеты в трассировке.

Таким образом, теперь мне что просто потому что приходит в голову:

  • pfSense идет 192.168.1.1/16 subet
  • мой рабочий стол идет 192.168.0.98/16 подсеть
  • мой сервер работает 192.168.0.10/16 подсеть

возможно, модем не находится на /16 подсеть. я включаю модем назад в мой рабочий стол, соединяюсь с веб-интерфейсом и вижу, что он установлен для 192.168.0.254/24. Таким образом, я реконфигурировал модем для 192.168.1.254/24. я затем реконфигурировал

  • мой рабочий стол, чтобы быть 192.168.1.98,
  • сервер, чтобы быть 192.168.1.10,
  • и теперь модем 192.168.1.254
  • в дополнение к pfSense тому, чтобы быть 192.168.1.1.

я повторно подключаю модем к pfSense полю, пытаюсь проверить с помощью ping-запросов его, и я не получаю... reponse., от которого я делаю трассировку пакетов для пакетов 192.168.1.254 и я не вижу... ни один.

Таким образом, теперь я озадачен и обращаюсь за помощью.

5
задан 12.02.2015, 20:25

2 ответа

Не уверенный это возможно с DSL... Можно ли создать правило брандмауэра только с параметрами WAN? Другими словами, перейдите к Брандмауэру> Правила> WAN и создайте правило там. Обязательно ограничьте трафик для не включения PPPoE, т.е. LAN> WAN.

2
ответ дан 07.12.2019, 17:39

Звуки мне как Ваш модемный маршрутизатор находятся в режиме моста, и что pfSense маршрутизатор является установкой с Клиентским идентификатором PPPoE для получения общедоступного IP из ISP непосредственно. Удостоверьтесь, что маршрутизатор не находится в режиме моста, и что его набор как dhcp сервер. Затем скажите pfSense получать свой IP WAN DHCP.

Это - действительно просто предположение...

1
ответ дан 07.12.2019, 17:39

Теги

Похожие вопросы