ESXi + pfSense - interface de gerenciamento de encaminhamento NAT ssh

Navegue suas respostas
1

pergunta no final.

Situação: (ips substituídos por exemplos fictícios)
Eu tenho um servidor dedicado (remoto), com 1 NIC, 2 IPs.
Um IP (por exemplo, 5.9.1.1) é ligado ao MAC da NIC física, o outro (5.9.100.1) é atribuído a um MAC 'aleatório'. Nenhuma filtragem de porta ou NAT está presente no nível da rede remota.

perfil de segurança do ESXi (v5.5)
Firewall está habilitado.
Todas as conexões de entrada exceto SSH, cliente DHCP, cliente DNS estão restritas apenas ao acesso 127.0.0.1.
Todas as conexões de saída exceto cliente DHCP, httpclient e cliente DNS estão restritas ao acesso 127.0.0.1.
O serviço do servidor SSH está ativado, com acesso somente autorizado (sem login interativo).

vSwitch0 (chamado WAN):

  • Ligado ao adaptador físico vmnic0
  • Porta VMKernel para a rede de gerenciamento (obtém o IP 5.9.1.1)
  • Porta da máquina virtual para o pfSense (obtém o 5.9.100.1, substituindo o seu MAC)

vSwitch1 (chamado LAN):

  • Nenhum adaptador físico
  • Porta da máquina virtual para pfSense (IP definido como 192.168.174.1 - DHCP ativado)
  • Porta da máquina virtual para o live cd do Debian (obtém 192.168.174.10 do pfSense DHCP)
  • Porta da máquina virtual para o Windows 2012R2 (obtém 192.168.174.11 do pfSense DHCP)
  • Porta VMKernel para a rede de gerenciamento (obtém 192.168.174.12 do pfSense DHCP)

configuração do pfSense:

O pfSense é configurado através do assistente regular. WAN = vSwitch0, LAN = vSwitch1. Servidor DHCP ativado.

NAT (todas elas na guia de encaminhamento de porta):

  • Configurações gerais
    Reflexo NAT para encaminhamentos de porta: Desabilitar
    NAT de saída automática para reflexão: desativado

  • RDP para o Windows2012R2
    Interface WAN, proto TCP
    src *, src port *
    Endereço de destino: WAN net, porta de destino: 3389
    IP NAT 192.168.174.11, porta NAT 3389

  • SSH para o Debian Live
    Interface WAN, proto TCP
    src *, src port *
    Endereço de destino: rede WAN, porta de destino: 2222
    NAT IP 192.168.174.10, porta NAT 22

  • host SSH para ESXi
    Interface WAN, proto TCP
    src *, porta src * Endereço de destino: WAN net, porta de destino: 22
    NAT IP 192.168.174.12. Porta NAT 22

Problema / Pergunta:
O encaminhamento de RDP e o SSH para o debian funcionam perfeitamente. Posso me conectar a ambos da minha rede doméstica.
No entanto, se eu tentar conectar-me da minha rede doméstica a 5.9.100.1:22, minha conexão falhará (expirou).

SSH de casa para 5.9.1.1:22 funciona (também uso túneis SSH para acessar o vSphere).
SSH do Windows2012R2 VM 192.168.174.11 ao host do ESXi 192.168.174.12:22 funciona.

Considerando as regras de SSH NAT do Debian, estou bastante confuso sobre o motivo pelo qual a regra ESXi NAT não funciona.
No entanto, como sou novo no ESXi e no pfSense, também não sei onde diagnosticar corretamente esse problema.

Adivinhação
Dado que o ESXi ainda tem 'acesso' à porta WAN (por enquanto - prevenção de bloqueio), ignorando pfSense completamente, ele pode apenas escolher a rota errada para enviar o tráfego de volta para minha rede doméstica. Em caso afirmativo: há algo que eu possa fazer para atenuar esse problema com a configuração atual? Se não for - eu poderia simplesmente configurar o servidor OpenVPN no pfSense e superar o problema de portfowarding.

Obrigado!

    
por sanderd 18.01.2015 / 03:06

0 respostas

Tags

O meu roteador Verizon FiOS será um gargalo se usado apenas como uma ponte? Aviso: Desconhecido: falha ao abrir fluxo: Permissão negada (localhost)