.png)
いくつかのサービスをパブリック IP に公開している pfSense ファイアウォール/ルーターがあります。
192.168.1.0/24これは、サービスがプライマリLANサブネット( )上にある限り、正常に動作しています。LAN-A。
例えば、これは機能します:
public_ip:443 -> pfSense (NAT) -> 192.168.1.20:5443 (reverse proxy)
192.168.88.0/24さらに、2つ目のLANがあります。LAN-B、それはミクロティックルータがオンになっています。pfSense では、ネットワークのゲートウェイとして指定する192.168.1.111静的ルートがあります。192.168.88.0/24192.168.1.111
からLAN-Aホストに接続できるようになりましたLAN-B例えば192.168.88.10、透過的に、ホストと同様にLAN-A(奇妙な問題は別としてssh ここで言及されているが、まだ解決されていない)。(ホストLAN-Bインターネットにも正常に接続できます。ミクロティックルータはpfSense、ボックスを192.168.1.1クライアントへのゲートウェイとして指定します。
ここまでは順調です。しかし、これからサービスをLAN-Bたとえば、192.168.88.10:10000外部 IP 上の NAT 経由で。通常と同じ操作を行います。
public_ip:10000 -> pfSense (NAT+Rule) -> 192.168.88.10:10000
ただし、これは機能しません (nmap外部からはポートが として表示されますがfiltered、LAN 内では ですopen)。つまり、NAT ロジックは静的ルートを認識していないようです。
静的ルートは pfSense のローカル インターフェイス ( ) ととLANBRIDGEの間のファイアウォール (NAT)の範囲内で「存在」するため、への接続がを通過することはおそらく認識されないため、これは論理的に思えます。しかし、これを機能させるにはどうすればよいでしょうか。WANLANBRIDGE192.168.88.0/24192.168.1.111
答え1
問題が見つかりました (後で参照するため、また他の人の役に立つ可能性があります):
説明したセットアップ (OP) は、側面では問題ありませんpfSense。
問題は、ミクロティックルータは、実際の送信元アドレス(つまり、外部 IP に接続するアドレス)を転送(転送チェーン)する必要があります。これは、0.0.0.0/0アドレスだけでなく、 とになります192.168.1.0/24。セキュリティ上の理由から、必要に応じて転送ルールを特定のポートに制限できます。