Как настроить pfsense так, чтобы клиенты vpn выглядели так, как будто они поступают из глобальной сети PFSense?
У меня есть конкретный хост, к которому мне нужно подключиться через ssh (назовите его "работа"). У меня есть статический IP-адрес в моем местоположении клиента (назовите его "клиент"), чтобы разрешить доступ к этому удаленному "рабочему" полю.
Люди на "работе" затем создали правило брандмауэра, чтобы разрешить мой "клиент", статический IP-адрес в их сети.
Это, конечно, означает, что если я путешествую, я НЕ смогу войти в свою "рабочую" сеть, так как у меня будет другой IP-адрес, чем мой статический, на моем клиентском сайте.
Я включил коробку PFSense 2.2.3 с OpenVPN (на сайте клиента)
Как я смогу создавать защищенные соединения, маршрутизируемые через мой "клиентский" ящик (со статическим IP-адресом), который позволит мне сделать мое безопасное соединение с моим "рабочим" ящиком? (Так будет выглядеть, как будто я иду от клиента со статического IP)
2 ответа
Поскольку у вас есть статический IP-адрес в "клиенте"... (на что, на мой взгляд, IP вашего PFSense?)
Просто настройте переадресацию портов (также называемую ip masquerading) на вашем PFSense. Точно так же вы получаете от статического публичного сокета (публичный ip и порт) вашего pfsense к частному сокету (локальный ip и порт) окна "client".
Таким образом, вы сможете подключиться к "клиенту", находясь в пути. Как только вы можете использовать SSH для "клиента", вы также сможете использовать SSH для "работы".
Это также будет работать напрямую, связывая соединения следующим образом:
ssh -t <client-ip> -p <port-if-not-22> -l <user> ssh <work-ip>
Также вы можете настроить "клиент" в качестве прокси (поиск man 5 ssh_config за ProxyCommand) в ~/.ssh/config, Если man-страницы не достаточно, Google будет.
Одним из возможных решений было бы использование Outbound NAT на вашем компьютере pfsense. Исходящий NAT настраивается в разделе "Брандмауэр>NAT" на вкладке "Исходящий". Обратитесь сюда для подробностей