pfSense: как маршрутизировать трафик через порт WAN?

31926
Ian Boyd

Экспертная версия

я хочу создать маршрут в pfSense, который будет отправлять трафик через физический порт WAN, а не через порт WAN PPPoE . я хочу общаться с веб-сервером на моем модеме DSL; позвольте мне увидеть текущую частоту синхронизации и поля SnR. Модем не видит пакеты, предназначенные для него, потому что они отправляются через туннель PPPoE .

Длинная версия

Мой маршрутизатор pfSense отвечает за настройку соединения PPPoE через DSL с моим провайдером. Когда машина в локальной сети хочет отправить пакеты в Интернет, маршрут по умолчанию отправляет пакеты через соединение PPPoE . Эти пакеты, завернутые в заголовок PPPoE, отправляются по кабелю Ethernet на мой модем DSL. Оттуда их отправляют интернет-провайдеры и интернет в целом.

+----------------------+ +----------------------+  |IPv4 header (20 bytes)| +--------+ |PPPoE header (8 bytes)| +-----+ {‾‾‾‾‾‾‾‾} | |===>|pfSense |===>|IPv4 header (20 bytes)|===>|Modem|===> | | +--------+ | | +-----+  | | | | +----------------------+ +----------------------+

Мне нужен способ отправки пакета через сам порт WAN, а не через порт WAN PPPoE.

Мой модем сидит там, с интерфейсом http, где я могу контролировать

  • скорость соединения
  • сигнал-шум
  • пропускная способность
  • время соединения

Всякий раз, когда я пытаюсь установить маршрут для пункта назначения 192.168.2.1(IP, который модем будет прослушивать для HTTP-запросов) для выхода через порт WAN, они вместо этого заканчивают тем, что выходят из порта PPPoE .

Разница в том, что они заключены в пакет протокола PPPoE, и модем не отправляет пакет, а доставляет его провайдеру.

Учитывая, что pfSense не имеет возможности направлять трафик через физический порт WAN: как я могу направить трафик через физический порт WAN в pfSense?

Вот тот же вопрос, который я задал 3 года назад на форуме pfSense :

У моего модема есть веб-интерфейс. Это удобно, потому что я могу видеть, действительно ли он подключен или нет, шум в линии, уровень ошибок и т. Д.

Если я подключу модем к своему компьютеру, работающему с удаленным рабочим столом (а не к компьютеру pfSense), я смогу нормально пропинговать и просматривать веб-интерфейс модема. IP-адрес модема - 192.168.0.254, и он прослушивает порт 8080. Я также могу отследить активность пакета с моего компьютера:

Пинг модем 

ARP REQ Phalanx => Broadcast 192.168.0.98 -?- 192.168.0.254 ARP RESP Phalanx <= Ovislink_LAN 192.168.0.254 -!- 192.168.0.98 IP/ICMP Phalanx => Ovislink_LAN 192.168.0.98 => 192.168.0.254 ECHO IP/ICMP Phalanx <= Ovislink_LAN 192.168.0.98 <= 192.168.0.254 ECHOREPLY

Вы можете видеть, как моя машина выполняет трансляцию ARP, запрашивая MAC-адрес модема (Ovislink). Модем отвечает своим IP, эхо гаснет, и я получаю ответ. Подобные детали можно увидеть при подключении к веб-порту модема:

Подключение к веб-порту 8080 

ARP REQ Phalanx => Broadcast 192.168.0.98 -?- 192.168.0.254 ARP RESP Phalanx <= Ovislink_LAN 192.168.0.254 -!- 192.168.0.98 IP/TCP Phalanx => Ovislink_LAN 192.168.0.98:50001 => 192.168.0.254:8080 SYN IP/TCP Plalanx <= Ovislink_LAN 192.168.0.98:50001 <= 192.168.0.254:8080 SYNACK IP/TCP Phalanx => Ovislink_LAN 192.168.0.98:50001 => 192.168.0.254:8080 ACK

После запроса ARP устанавливается TCP-соединение с обычным процессом SYN, SYN ACK, ACK. И все хорошо.

Теперь вместо того, чтобы подключать модем к настольному ПК, я подключаю его к ПК, на котором запущен pfSense.

Примечание. Ранее я изменил IP-адрес локальной сети pfSense 192.168.1.1/16, а не на 192.168.1.1/24. Это потому что моя сеть уже была 192.168.0.0/16.

Первое, что я сделать, это отключить «Блокировать частные сети» функция под Interfaces->WAN, так как интерфейс LAN моего модема работает как 192.168.0.254. Это удаляет первую запись брандмауэра, под Firewall->Rulesкоторой блокируется весь трафик RFC1918. Затем я добавил правило брандмауэра:

Действие: Pass
Интерфейс: WAN
Протокол: TCP
Источник: один хост или псевдоним, 192.168.0.254
Место назначения: подсеть LAN
Диапазон портов назначения: любой
Пакеты журналов: Да
Описание: ADSL-модем

После сохранения и применения моих изменений я попытался использовать эту Diagnostics->Pingфункцию для проверки связи 192.168.0.254на стороне WAN. Это, конечно, не сработало.

Я подумал об этом, и мне кажется, что я не могу просто разрешить входящие TCP-пакеты в WAN 192.168.0.254, мне также нужно разрешить пакеты ответа ARP (как иначе pfSense может найти MAC-адрес оборудования, которое пытается отправить IP-пакет для?). Мне также пришло в голову, что я не могу назвать LAN в качестве пункта назначения, потому что на самом деле пингует интерфейс WAN. Поэтому я обновил правило брандмауэра:

Действие: Pass
Интерфейс: WAN
Протокол: любой
Источник: один хост или псевдоним, 192.168.0.254
Пункт назначения: любой
Диапазон порта назначения: любой
Пакеты журналов: Да
Описание: Модем ADSL

Теперь, когда я пингую это ... не работает. Там нет ничего удивительного. Поэтому я решил запустить трассировку пакета:

Интерфейс: WAN
Host Address: 192.168.0.254 Количество
: 1
Уровень детализации: Полный

Я начал трассировку, сделал пинг Diagnostics->Pingи получил ... ничего. Нет ответа на пинг и нет пакетов в трассировке.

Так что теперь мне приходит в голову, что только потому, что:

  • pfSense находится в 192.168.1.1/16сети
  • мой рабочий стол находится в 192.168.0.98/16подсети
  • мой сервер находится в 192.168.0.10/16подсети

возможно модем не в /16подсети. Я подключаю модем обратно к своему рабочему столу, подключаюсь к веб-интерфейсу и вижу, что он установлен 192.168.0.254/24. Поэтому я перенастроить модем для 192.168.1.254/24. Затем я перенастроить

  • мой рабочий стол 192.168.1.98,
  • сервер, который будет 192.168.1.10,
  • и теперь модем 192.168.1.254
  • в дополнение к существованию pfSense 192.168.1.1.

я переподключаю модем к коробке pfSense, пытаюсь пинговать его, и я получаю ... без ответа. я делаю трассировку пакетов для пакетов, 192.168.1.254и я вижу ... нет.

Так что теперь я в тупике и прошу помощи.

5

5 ответов на вопрос

2
nicorellius

Не уверен, что это возможно с DSL ... Можете ли вы создать правило брандмауэра только с параметрами WAN? Другими словами, зайдите в Firewall> Rules> WAN и создайте там правило. Обязательно ограничьте трафик, чтобы он не включал PPPoE, т. Е. LAN> WAN.

Нет, единственными вариантами выбора интерфейсов являются «LAN» или «WAN». Ian Boyd 13 лет назад 0
Я собираюсь принять ответ «невозможно». Вроде бы правильный ответ. Ian Boyd 13 лет назад 0
2
Walter Aldum

I think I've managed to do what you requested. You will need to add a interface, gateway and a rule to route traffic to that gateway for the IP range of your modem.

So my setup: Billion router connected to telephone cable - set in bridge mode. pfsense router connected to billion router via lan cable. pfsense version 2.1.5

pfsense set up to have 3 interfaces:

  • WAN - PPPOE over re0 (setup as part of setup wizard)
  • LAN - dhcp host over em0 with dhcp assigning IPs between 192.168.1.128 and 192.168.1.192 (setup as part of setup wizard)
  • MODEMACCESS - dhcp client over re0 (had to be added manually after setup)

Gateways:

  • GW_WAN - interface = WAN ; Gateway IP address = dynamic ; default gateway
  • MODEMACCESS_DHCP - interface = MODEMACCESS ; Gateway IP address = dhcp; NOT default gateway

Rules:

  • Under WAN i have the usual 2 blocks and a pass all, gatway = default
  • Under LAN I have 192.168.1.1/24 source and 192.168.1.1/24 destination lockout rule and a few queue assignment rules from 192.168.1.x to !192.168.1.x, gateway = default
  • Under MODEMACCESS source 192.168.1.1/24 to destination 10.0.0.2/24 with gateway MODEMACCESS_DHCP

IPs for devices:

  • billion router ip 10.0.0.2
  • pfsense LAN ip: 192.168.1.1
  • pfsense WAN public IP determined by PPPOE
  • pfsense MODEMACCESS IP determined by billion DHCP server

I can access the billion router web gui by typing 10.0.0.2 (or the host name) into any browser on any pc on the LAN network. I can access the internet on any device connected on the LAN network (through the PPPOE connection on pfsense.

Да, это работает. Возможность добавлять дополнительные произвольные интерфейсы была добавлена ​​в pfSense через некоторое время после того, как я задал вопрос. Ответы @ getack ссылаются на новые инструкции pfSense под названием [Доступ к модему из брандмауэра] (https://doc.pfsense.org/index.php/Accessing_modem_from_inside_firewall) Ian Boyd 9 лет назад 0
1
seagullarity

Мне кажется, что ваш модемный маршрутизатор находится в режиме моста и что маршрутизатор pfSense настроен с идентификатором клиента PPPoE для получения вашего публичного IP-адреса напрямую от интернет-провайдера. Убедитесь, что маршрутизатор не находится в режиме моста и что он настроен как сервер DHCP. Затем скажите pfSense получить IP-адрес WAN по DHCP.

Это действительно только предположение ...

1
getack

My answer might be similar to what some of the others posted. But I think this (https://doc.pfsense.org/index.php/Accessing_modem_from_inside_firewall) will answer your question

0
user311628

To set this up you would need a switch to plug the modem into. The PFSense firewall will plug into that switch with two ports. One port will show up initially as an OPT port, but you can rename it. The firewall will use the PPPoE connection as the WAN interface but you can route to the modem over the opt interface.

Похожие вопросы