Задать вопрос
@rgutto
сетевое-администрирование

Почему не работает OPNsense в режиме PortForward?

Товарищи, всем здравствуйте! Столкнулся с проблемой при разворачивании IT-инфраструктуры в офисе.

Имеем следующую конфигурацию:

HPE DL120 Gen9 в качестве гипервизора. На нем стоит Proxmox VE 9.0.3 на котором 3 ВМ:
  1. OPNsense 25.7 с последними обновлениями
  2. Debian 13 с Apache2
  3. Debian 13 c 1С-Предприятие


В Proxmox создано 3 Linux Bridge:
  1. vmbr0 (WAN, привязан к физ. eno1)
  2. vmbr1 (LAN, привязан к физ. eno2)
  3. vmbr2 (DMZ, ни к чему не привязан)


OPNsense владеет всеми тремя интерфейсами, ВМ c 1C-Предприятие только LAN, ВМ с Apache2 только DMZ.

Пытаюсь настроить NAT PortForward уже трое бессонных суток - сайт из DMZ ни в какую не хочет присылать ответ браузеру. Ради эксперимента в OPNsense на интерфейсе DMZ разрешил IN от всех на всё, на интерфейсе WAN разрешил IN от всех на всё.
Заглушка Apache из WAN-сети не открывается НИ В КАКУЮ!

tcpdump -i ens18 -n port 8080 показывает, что входящий трафик приходит, но через какое-то количество пакетов идет RST соединения.
spoiler
68f50105d544d868186815.png


Три дня я ставил и снимал галки, вглядывался в неудаляемые и неизменяемые Floating правила на всех интерфейсах, переустанавливал OPNsense, пересоздавал vmbr-ы в Proxmox, перечитал трижды документацию по PF и NAT от OPNsens, просмотрел все ролики из индии на YouTube - НЕТ. Пока...

... пока не решил поставить pfSense...

Одно правило на WAN (отовсюда на всюду) и одно правило для NAT (8080 WAN на 8080 в DMZ) - тут же все завелось.

Прикладываю скриншоты (верхний - pf, нижний OPN) для сравнения.

Настройки интерфейса WAN:

68f501d1b3d3d400188299.png
68f501e626d8c843315529.png

Настройки интерфейса DMZ:

68f5020336c94480252582.png
68f50213bc746607188120.png

Правила NAT PF

68f5024389427716172102.png
68f502547a70f285928129.png

Привила FireWall (WAN)

68f505ce4efd6633726627.png
68f505dd0d157442613064.png

Привила FireWall (DMZ)


(на скриншоте из pf правило отключено на момент снимка, но доступ с сайту есть в обоих случаях)

68f5064ae75e1989656022.png
68f5065b81128717768930.png

Что происходит на 8080 порту в обоих случаях

68f5068570a25361600152.png
68f5068f53b28432326239.png


Ощущение, что это баг в state table (многократная перезагрузка не помогла) или хитрые автоматические правила
в Floating, но я так и не смог заставить OPNsense работать.

Да, я пытался настроить SNAT и Apache получал ip-шлюза в заголовках входящих пакетов, но это все равно не сработало. Reflection включал\отключал чисто ради эксперимента (хотя знаю, что Reflection нужно для другого сценария).

Друзья, я правда просмотрел множество ресурсов в Интернете, прежде чем задавать такой вопрос сюда, поэтому прошу не сильно ругаться и отнестись снисходительно. Уверен, что проблема типовая.

Спасибо всем за отклик!
  • Вопрос задан
  • 50 просмотров
3 комментария
Подписаться 1 Средний 3 комментария
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Системный аналитик
Data World Москва
от 180 000 до 210 000 ₽
Golang-разработчик (CRM)
IT-hunter
от 300 000 ₽
Начальник отдела эксплуатации инфраструктуры и цифровых сервисов
Мособлгаз Москва
До 240 000 ₽
Ещё вакансии