Как настроить выходной NAT для VPN на WAN в pfSense?

Question

ThunderNova

openvpn , pfsense , firewall , роутинг

Как настроить выходной NAT для VPN на WAN в pfSense?

Здравствуйте! <br/> У нас установлен OpenVPN сервер на pfSense. Трафик между VPN-клиентами и LAN проходит без проблем, поскольку у нас отключен redirect-gateway. У каждого клиента по умолчанию настроен их WAN GW от провайдера. На pfSense настроен NAT. <br/> WAN IP pfSense: 5.5.5.5 <br/> OpenVPN: 10.10.0.1 <br/> IP VPN-клиента: 10.10.0.2 <br/> Нам необходимо открыть порт 8081 на WAN интерфейсе pfSense и перенаправить трафик в сеть OpenVPN к VPN-клиенту. <br/> Мы настроили Port Forwarding на 5.5.5.5:58081 для перенаправления на NAT 10.10.0.2:8081, но это не работает. <br/> Я понимаю, что возможно, проблема связана с настройками Firewall-NAT-Outbound-Mappings, но не могу разобраться, как это сделать.

15 ноября 2024 г. 22:23

Ответы на вопрос 1

Похожие вопросы

Answer 1

Чтобы настроить выходной NAT для VPN-клиентов и перенаправить трафик на конкретный порт в pfSense, вам нужно выполнить несколько шагов:

### Шаг 1: Настройка правил NAT для Port Forwarding

1. **Перейдите в интерфейс pfSense**.
2. Перейдите в раздел **Firewall > NAT**.
3. Перейдите на вкладку **Port Forward**.
4. Нажмите **Add** (Добавить).

Настройте следующие параметры:
- **Interface**: WAN
- **Protocol**: TCP (или UDP в зависимости от того, какой протокол используете)
- **Destination**: WAN Address (выбираем IP вашего WAN-адреса, например, 5.5.5.5)
- **Destination Port Range**: 58081 (или другим портом, если требуется)
- **Redirect Target IP**: 10.10.0.2 (IP вашего VPN-клиента)
- **Redirect Target Port**: 8081
- **Description**: Пояснительное название для правила (например, "Port Forward to VPN Client")

5. Нажмите **Save** (Сохранить) и затем **Apply Changes** (Применить изменения).

### Шаг 2: Настройка правил Firewall

1. Перейдите в раздел **Firewall > Rules**.
2. На вкладке **WAN** добавьте новое правило, если его еще нет, чтобы разрешить входящие соединения на порт 58081.
- **Action**: Pass
- **Interface**: WAN
- **Protocol**: TCP (или UDP)
- **Source**: any (или конкретные IP-адреса, если хотите ограничить доступ)
- **Destination**: WAN Address
- **Destination Port Range**: 58081
- **Description**: (например, "Allow access to VPN Client on 58081")

3. Нажмите **Save** и затем **Apply Changes**.

### Шаг 3: Проверка NAT Outbound

Убедитесь, что у вас правильно настроен NAT Outbound:

1. Перейдите в раздел **Firewall > NAT** и затем на вкладку **Outbound**.
2. Убедитесь, что у вас настроен режим:
- Если у вас установлен режим "Automatic outbound NAT rule generation", то проверьте, что есть правила для вашего VPN.
- Если установлен режим "Manual outbound NAT rule generation", вам нужно добавить правило для вашего VPN:
- **Interface**: OpenVPN
- **Source**: 10.10.0.0/24 (или другой CIDR-пул вашего OpenVPN)
- **Translation / target**: WAN address (5.5.5.5)

3. Нажмите **Save** и затем **Apply Changes**.

### Шаг 4: Проверка правил и логов

Если все сделано правильно, но доступ по порту 58081 не работает, проверьте:

1. Проверьте логи в pfSense, перейдя в **Status > System Logs**, чтобы увидеть, блокируется ли трафик.
2. Убедитесь, что на ПК с VPN-клиентом настроен брандмауэр, который может блокировать подключения на порт 8081. Если у вас стоит firewall на клиенте, убедитесь, что он разрешает входящие соединения на этот порт.

После выполнения всех этих шагов ваш трафик на порт 58081 должен корректно перенаправляться к вашему VPN-клиенту на порт 8081.