5

Экспертная версия

я хочу создать маршрут в pfSense, который будет отправлять трафик через физический порт WAN , а не через порт WAN PPPoE. я хочу общаться с веб-сервером на моем модеме DSL; позвольте мне увидеть текущую частоту синхронизации и поля SnR. Модем не видит пакеты, предназначенные для него, потому что они отправляются через туннель PPPoE.


Длинная версия

Мой маршрутизатор pfSense отвечает за настройку соединения PPPoE через DSL с моим провайдером. Когда машина в локальной сети хочет отправить пакеты в Интернет, маршрут по умолчанию отправляет пакеты через соединение PPPoE . Эти пакеты, завернутые в заголовок PPPoE, отправляются по кабелю Ethernet на мой модем DSL. Оттуда их отправляют интернет-провайдеры и интернет в целом.

+----------------------+                  +----------------------+    
|IPv4 header (20 bytes)|    +--------+    |PPPoE header (8 bytes)|    +-----+    {‾‾‾‾‾‾‾‾}
|                      |===>|pfSense |===>|IPv4 header (20 bytes)|===>|Modem|===>{Internet}
|                      |    +--------+    |                      |    +-----+    {________}
|                      |                  |                      |
+----------------------+                  +----------------------+

Мне нужен способ отправки пакета через сам порт WAN, а не через порт WAN PPPoE.

Мой модем сидит там, с интерфейсом http, где я могу контролировать

  • скорость соединения
  • сигнал-шум
  • пропускная способность
  • время соединения

Всякий раз, когда я пытаюсь установить маршрут для пункта назначения 192.168.2.1 (IP, который модем будет прослушивать для HTTP-запросов) для выхода из порта WAN , они вместо этого заканчивают тем, что выходят из порта PPPoE .

Разница в том, что они заключены в пакет протокола PPPoE, и модем не отправляет пакет, а доставляет его провайдеру.

Учитывая, что pfSense не имеет возможности направлять трафик через физический порт WAN: как я могу направить трафик через физический порт WAN в pfSense?


Вот тот же вопрос, который я задал 3 года назад на форуме pfSense:

У моего модема есть веб-интерфейс. Это удобно, потому что я могу видеть, действительно ли он подключен или нет, шум в линии, уровень ошибок и т.д.

Если я подключаю модем к своему компьютеру, работающему с удаленным рабочим столом (а не к компьютеру pfSense), я могу нормально пропинговать и просматривать веб-интерфейс модема. IP-адрес модема - 192.168.0.254, и он прослушивает порт 8080. Я также могу отследить активность пакета с моего компьютера:

Пинг модем

ARP REQ    Phalanx => Broadcast     192.168.0.98  -?- 192.168.0.254
ARP RESP   Phalanx <= Ovislink_LAN  192.168.0.254 -!- 192.168.0.98
IP/ICMP    Phalanx => Ovislink_LAN  192.168.0.98  =>  192.168.0.254 ECHO
IP/ICMP    Phalanx <= Ovislink_LAN  192.168.0.98  <=  192.168.0.254 ECHOREPLY

Вы можете видеть, как моя машина выполняет трансляцию ARP, запрашивая MAC-адрес модема (Ovislink). Модем отвечает своим IP, эхо гаснет, и я получаю ответ. Подобные детали можно увидеть при подключении к веб-порту модема:

Подключение к веб-порту 8080

ARP REQ     Phalanx => Broadcast    192.168.0.98       -?- 192.168.0.254
ARP RESP    Phalanx <= Ovislink_LAN 192.168.0.254      -!- 192.168.0.98
IP/TCP      Phalanx => Ovislink_LAN 192.168.0.98:50001 =>  192.168.0.254:8080 SYN
IP/TCP      Plalanx <= Ovislink_LAN 192.168.0.98:50001 <=  192.168.0.254:8080 SYNACK
IP/TCP      Phalanx => Ovislink_LAN 192.168.0.98:50001 =>  192.168.0.254:8080 ACK

После запроса ARP устанавливается TCP-соединение с обычным процессом SYN, SYN ACK, ACK. И все хорошо.

Теперь вместо того, чтобы подключать модем к настольному ПК, я подключаю его к ПК, на котором запущен pfSense.

Примечание. Ранее я изменил IP-адрес локальной сети pfSense на 192.168.1.1/16 , а не на 192.168.1.1/24 . Это потому, что моя сеть была уже 192.168.0.0/16 .

Первое, что я делаю, это отключаю функцию "Блокировать частные сети" в разделе « Interfaces->WAN , так как интерфейс LAN моего модема работает как 192.168.0.254 . Это удаляет первую запись брандмауэра под Firewall->Rules которая блокировала весь трафик RFC1918. Затем я добавил правило брандмауэра:

Действие: пройти
Интерфейс: WAN
Протокол: TCP
Источник: один хост или псевдоним, 192.168.0.254.
Назначение: подсеть ЛВС
Диапазон портов назначения: любой
Пакеты журналов: Да
Описание: ADSL модем

После сохранения и применения моих изменений я попытался использовать функцию « Diagnostics->Ping для пинга 192.168.0.254 на стороне глобальной сети. Это, конечно, не сработало.

Я подумал об этом, и мне кажется, что я не могу просто разрешить входящие TCP-пакеты в глобальной сети с 192.168.0.254 , мне также нужно разрешить ответные пакеты ARP (как иначе pfSense может найти MAC-адрес оборудования, которое он пытается отправить пакет IP на?). Мне также пришло в голову, что я не могу назвать LAN в качестве пункта назначения, потому что на самом деле пингует интерфейс WAN. Поэтому я обновил правило брандмауэра:

Действие: пройти
Интерфейс: WAN
Протокол: любой
Источник: один хост или псевдоним, 192.168.0.254.
Направление: любое
Диапазон портов назначения: любой
Пакеты журналов: Да
Описание: ADSL модем

Теперь, когда я пингую это ... не работает. Там нет ничего удивительного. Поэтому я решил запустить трассировку пакета:

Интерфейс: WAN
Адрес хоста: 192.168.0.254
Количество: 1
Уровень детализации: Полный

я начал трассировку, сделал пинг из Diagnostics->Ping , и получил ... ничего. Нет ответа на пинг и нет пакетов в трассировке.

Так что теперь мне приходит в голову, что только потому, что:

  • pfSense находится в 192.168.1.1/16
  • мой рабочий стол находится в подсети 192.168.0.98/16
  • мой сервер находится в подсети 192.168.0.10/16

возможно модем не находится в подсети /16 . Я подключаю модем обратно к своему рабочему столу, подключаюсь к веб-интерфейсу и вижу, что он настроен на 192.168.0.254/24 . Поэтому я перенастроил модем на 192.168.1.254/24 . Затем я перенастроить

  • мой рабочий стол должен быть 192.168.1.98 ,
  • сервер должен быть 192.168.1.10 ,
  • а сейчас модем 192.168.1.254
  • в дополнение к pfSense, являющемуся 192.168.1.1 .

я переподключаю модем к коробке pfSense, пытаюсь пинговать его, и я получаю ... без ответа. я делаю трассировку пакетов для пакетов от 192.168.1.254 и я вижу ... нет.

Так что теперь я в тупике и прошу помощи.

5 ответов5

2

Я думаю, что мне удалось сделать то, что вы просили. Вам потребуется добавить интерфейс, шлюз и правило для маршрутизации трафика на этот шлюз для диапазона IP-адресов вашего модема.

Итак, мои настройки: маршрутизатор Billion подключен к телефонному кабелю - установлен в режиме моста. Маршрутизатор pfsense подключен к миллиардному маршрутизатору через кабель локальной сети. pfsense версия 2.1.5

У pfsense есть 3 интерфейса:

  • WAN - PPPOE over re0 (настройка как часть мастера установки)
  • LAN - хост dhcp через em0 с dhcp, назначающий IP-адреса между 192.168.1.128 и 192.168.1.192 (настройка как часть мастера установки)
  • MODEMACCESS - клиент DHCP по re0 (должен был быть добавлен вручную после установки)

шлюзы:

  • GW_WAN - интерфейс = WAN; IP-адрес шлюза = динамический; шлюз по умолчанию
  • MODEMACCESS_DHCP - интерфейс = MODEMACCESS; IP-адрес шлюза = dhcp; НЕ шлюз по умолчанию

Правила:

  • Под WAN у меня есть обычные 2 блока и пройти все, Gatway = по умолчанию
  • В локальной сети у меня есть источник 192.168.1.1/24 и правило блокировки назначения 192.168.1.1/24, а также несколько правил назначения очередей от 192.168.1.x до!192.168.1.x, шлюз = по умолчанию
  • Под источником MODEMACCESS 192.168.1.1/24 до пункта назначения 10.0.0.2/24 со шлюзом MODEMACCESS_DHCP

IP-адреса для устройств:

  • IP-маршрутизатор млрд. 10.0.0.2
  • Pfsense LAN IP: 192.168.1.1
  • pfsense WAN публичный IP, определенный PPPOE
  • pfsense MODEMACCESS IP определяется миллиардным DHCP-сервером

Я могу получить доступ к веб-интерфейсу миллиарда маршрутизаторов, набрав 10.0.0.2 (или имя хоста) в любом браузере на любом компьютере в сети LAN. Я могу получить доступ к Интернету на любом устройстве, подключенном к сети LAN (через соединение PPPOE на pfsense.

2

Не уверен, что это возможно с DSL ... Можно ли создать правило брандмауэра только с параметрами WAN? Другими словами, зайдите в Firewall> Rules> WAN и создайте там правило. Обязательно ограничьте трафик, чтобы он не включал PPPoE, т. Е. LAN> WAN.

1

Мой ответ может быть похож на то, что опубликовали некоторые другие. Но я думаю, что это (https://doc.pfsense.org/index.php/Accessing_modem_from_inside_firewall) ответит на ваш вопрос

1

Мне кажется, что ваш модемный маршрутизатор находится в режиме моста и что маршрутизатор pfSense настроен с идентификатором клиента PPPoE для получения вашего публичного IP-адреса напрямую от интернет-провайдера. Убедитесь, что маршрутизатор не находится в режиме моста и что он настроен как сервер DHCP. Затем скажите pfSense получить IP-адрес WAN по DHCP.

Это действительно только предположение ...

0

Для настройки вам понадобится переключатель для подключения модема. Брандмауэр PFSense подключится к этому коммутатору с двумя портами. Один порт будет первоначально отображаться как порт OPT, но вы можете переименовать его. Брандмауэр будет использовать соединение PPPoE в качестве интерфейса WAN, но вы можете направить модем через интерфейс opt.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .