Encaminhar solicitações HTTP específicas por meio do pfSense OpenVPN

2

para começar, eu tenho muito pouco conhecimento sobre rotas, iptables, etc. Dito isso, aqui está o que eu estou tentando realizar e onde eu acho que estou perplexo:

Problema: Temos um site externo que recentemente firewalled, aceitando apenas o tráfego dos endereços IP do nosso escritório. Isso funciona bem no escritório, mas não funciona para acesso remoto por meio de VPN, pois não direcionamos todo o tráfego pelo OpenVPN. Eu preferiria evitar que todos enviassem todo o tráfego apenas para acomodar esse site.

Ambiente: A caixa principal do roteador está executando o pfSense. Em0 é IP interno, Em1 é externo. A rede interna é 10.23.xe a VPN é 10.0.8.0/24

Eu acredito que o que eu preciso fazer é adicionar uma rota para a configuração do servidor VPN para enviar todo o tráfego para esse IP através do túnel VPN. Eu acho que essa parte está funcionando, mas eu não recebo uma resposta de volta, então estou assumindo que eu preciso de alguma configuração NAT no servidor VPN para encaminhar a resposta de volta ao túnel?

O que eu encontrei até agora é tentar o seguinte, mas como esta é uma caixa pfSense no FreeBSD, eu não posso rodar o iptables, etc.

Verifique se o encaminhamento de ip está ativado: echo 1 > / proc / sys / net / ipv4 / ip_forward

Configure o NAT de volta: iptables -t nat -A POSTROUTING -s 10.0.8.0/24 -o em0 -j MASQUERADE

Estou no caminho certo e, se assim for, como faço isso através da interface do usuário do pfSense ou da CLI do FreeBSD? Obrigado!

    
por DennisQ 17.02.2010 / 06:03

2 respostas

3

Entendi! Um colega de trabalho e eu tropeçamos no sucesso (por enquanto).

XXX.XXX.XXX.XXX = IP do site específico que queríamos roteado pela VPN

Solução:

  1. VPN > OpenVPN > Servidor > Editar > Opções personalizadas: pressione "routeXXX.XXX.XXX.XXX";
  2. Firewall > NAT > Saída >
    • Selecionar NAT de saída manual (AON)
    • Adicione 2 rotas abaixo:
      • Origem da interface SrcPort Destino DestPort NATAddr NATPort StaticPort
      • WAN 10.23.23.0/24 * * * * * NÃO
      • WAN 10.0.8.0/24 * XXX.XXX.XXX.XXX/32 * * * NÃO
  3. Lucro; -)

O passo 3 é opcional.

    
por 17.02.2010 / 06:29
0

Que bom que você resolveu! Outro método é ter o servidor externo como parte da VPN. Em seguida, basta definir o domínio / s para os novos servidores IP VPN em vez do IP público. Desta forma, todo o acesso administrativo ao servidor externo também viaja através da VPN. Além disso, não há rotas especiais ou regras de NAT.

    
por 17.02.2010 / 10:06