Я больше не вижу деревьев. Любые подсказки приветствуются.
У меня есть корневой сервер и установленный proxmox, у меня только один публичный ip. Я использовал маршрутизированную настройку. Настроил некоторые базовые вещи, такие как 2FA и TLS Certificated, а затем перешел к запуску pfsense, чтобы я мог открыть vpn в своей частной подсети и заблокировать доступ из интернета к веб-интерфейсу proxmox.
яне мочьвыясните, что я упускаю, несмотря ни на что, я не могу заставить работать переадресацию портов с моего Debian на виртуальную машину pfsense.
Переадресация IP включена:
cat /proc/sys/net/ipv4/conf/enp35s0/forwarding
1
У меня есть частная подсеть, в ней несколько клиентских виртуальных машин, все работает отлично:
auto vmbr1
iface vmbr1 inet static
address 10.0.0.0/24
bridge-ports none
bridge-stp off
bridge-fd 0
Основной интерфейс с публичным адресом:
auto enp35s0
iface enp35s0 inet static
address 1.1.1.175/26
gateway 1.1.1.129
up route add -net 1.1.1.128 netmask 255.255.255.192 gw 1.1.1.129 dev enp35s0
На enp35s0 все хорошо, есть доступ по ssh и Web UI. Вот конфиг, который, как я предполагаю, в чем-то неправильный
auto vmbr0
iface vmbr0 inet static
address 172.16.0.1
netmask 255.255.255.0
bridge-ports none
bridge-stp off
bridge-fd 0
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
# NAT
post-up iptables -t nat -A POSTROUTING -s '172.16.0.0/24' -o enp35s0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '172.16.0.0/24' -o enp35s0 -j MASQUERADE
# Port Forward
post-up iptables -t nat -A PREROUTING -d 1.1.1.175 -p tcp --dport 1194 -j DNAT --to-destination 172.16.0.2:1194
post-up iptables -A FORWARD -p tcp -d 172.16.0.2 --dport 1194 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
post-up iptables -A POSTROUTING -t nat -p tcp -m tcp -s 172.16.0.2 --sport 1194 -j SNAT --to-source 1.1.1.175
post-down iptables -t nat -D PREROUTING -i enp35s0 -p tcp --dport 1194 -j DNAT --to 172.16.0.2:1194
Итак, вкратце:
< Интернет > <Debian 1.1.1.175> <pfSense 172.16.0.2 / 10.0.0.1> <Клиент 10.0.0.2>
Клиент получает свой IP от pfSense DHCP и может пинговать pfsense и выходить в интернет. Я предполагаю, что это означает, что базовая функциональность и маршрутизация на vmbr0 работают как и ожидалось.
Что не работает, так это то, что я не могу добраться до сервера OpenVPN, настроенного на pfSense, извне. Когда я тестирую его с помощью nmap, он просто сообщает, что порт закрыт.
Есть идеи?
EDIT1: Я не использую встроенный брандмауэр PVE.
Как предложил Никита, я сохранил конфигурации следующим образом: IP forward
grep ip_forward /etc/sysctl.conf
net.ipv4.ip_forward=1
Создал iptables save и перезагрузил сервер, чтобы проверить, сохранилась ли конфигурация. Конфигурация интерфейса теперь выглядит так
auto vmbr0
iface vmbr0 inet static
address 172.16.0.1
netmask 255.255.255.0
bridge-ports none
bridge-stp off
bridge-fd 0
EDIT2: Таблица маршрутизации выглядит нормально для меня:
default via 1.1.1.129 dev enp35s0 proto kernel onlink
10.0.0.0/24 dev vmbr1 proto kernel scope link src 10.0.0.0
1.1.1.128/26 via 1.1.1.129 dev enp35s0
1.1.1.128/26 dev enp35s0 proto kernel scope link src 1.1.1.175
172.16.0.0/24 dev vmbr0 proto kernel scope link src 172.16.0.1