До этого у меня была такая настройка:
LAN: 192.168.1.0/24 (GW/router: 192.168.1.1) -> router 192.168.1.111 -> LAN2: 192.168.88.0/24
Первый маршрутизатор/GW pfSense box, второй маршрутизатор Mikrotik (с брандмауэром и т. д.).
Чтобы получить доступ, например, к хосту 192.168.88.10:22, у меня был перенаправлен порт на Mikrotik, 192.168.1.111:30022 -> 192.168.88.10:22поэтому я мог сделать следующее:
ssh -p30022 192.168.1.111
Все работало отлично.
Новая установка:
Целью является обеспечение прямого доступа к хостам в LAN2 из LAN, чтобы избежать необходимости вручную переадресовывать большое количество портов.
Рецепт:
Установите статический маршрут на устройстве pfSense:192.168.88.0/24 -> 192.168.1.111
На Mikrotik добавьте в брандмауэр:
(где мост состоит из внутренних интерфейсов этого маршрутизатора, т.е. 192.168.88.0/24)
Похоже, это работает хорошо, т.е. httpсоединения и sshподключения могут быть открыты на хостах, как 192.168.88.10из локальной сети.
Однако sshсоединения постоянно зависают примерно через 30-40 с. Это не обычный тайм-аут (он нормально работает с переадресацией портов), поэтому это должно быть связано с маршрутизацией/брандмауэром.
Я тестировал с помощью:
❯ ssh 192.168.88.10 sh -c 'T=0; while [ 1 ]; do echo "Connected ${T} s"; T=$((${T} + 1)); sleep 1; done'
Connected s
Connected 1 s
Connected 2 s
...
Connected 33 s
(затем зависает)
С хостов в .88.0подсети я могу нормально получить доступ к Интернету и хостам в локальной сети, так как шлюз для этой подсети у меня установлен на 192.168.1.1 (устройство pfSense, которое также является моим внешним маршрутизатором).
Есть идеи?
EDIT: решения так и нет (спустя 1 месяц)...