ESXi + pfSense - NAT ফরওয়ার্ড ম্যানেজমেন্ট ইন্টারফেস ssh


1

প্রশ্ন শেষে।

পরিস্থিতি: (আইপিসগুলি কল্পিত উদাহরণগুলির দ্বারা প্রতিস্থাপন করা হয়েছে)
আমার একটি (রিমোট) ডেডিকেটেড সার্ভার রয়েছে, যার সাথে 1 এনআইসি, 2 আইপি রয়েছে।
একটি আইপি (উদাঃ 5.9.1.1) শারীরিক এনআইসির ম্যাকের সাথে আবদ্ধ, অন্যটি (5.9.100.1) একটি 'এলোমেলো' ম্যাককে অর্পণ করা হয়েছে।
দূরবর্তী নেটওয়ার্ক স্তরে কোনও বন্দর ফিল্টারিং বা NAT উপস্থিত নেই।

ESXi (v5.5) সুরক্ষা প্রোফাইল
ফায়ারওয়াল সক্ষম হয়েছে। এসএসএইচ, ডিএইচসিপি ক্লায়েন্ট, ডিএনএস ক্লায়েন্ট ব্যতীত
সমস্ত আগত সংযোগ কেবলমাত্র 127.0.0.1-অ্যাক্সেসের মধ্যে সীমাবদ্ধ। DHCP ক্লায়েন্ট, httpClient এবং DNS ক্লায়েন্ট ব্যতীত
সমস্ত বহির্গামী সংযোগগুলি 127.0.0.1-অ্যাক্সেসের মধ্যে সীমাবদ্ধ। এসএসএইচ-সার্ভার পরিষেবাটি কেবল অনুমোদিত কী অ্যাক্সেস সহ সক্ষম করা হয়েছে (কোনও ইন্টারেক্টিভ লগইন নেই)।

vSwitch0 (নাম WAN):

  • শারীরিক অ্যাডাপ্টার vmnic0 এ আবদ্ধ
  • ম্যানেজমেন্ট নেটওয়ার্কের জন্য ভিএম কার্নেল পোর্ট (5.9.1.1 আইপি পেয়েছে)
  • পিএফসেন্সের জন্য ভার্চুয়াল মেশিন পোর্ট (এর ম্যাকটি ওভাররাইড করে 5.9.100.1 পায়)

vSwitch1 (নাম ল্যান):

  • কোনও শারীরিক অ্যাডাপ্টার নেই
  • পিএফসেন্সের জন্য ভার্চুয়াল মেশিন পোর্ট (আইপি 192.168.174.1 - ডিএইচসিপি সক্ষম হয়েছে)
  • দেবিয়ান লাইভ সিডির জন্য ভার্চুয়াল মেশিন পোর্ট (পিএফসেন্স ডিএইচসিপি থেকে 192.168.174.10 পেয়েছে)
  • উইন্ডোজ 2012R2 এর জন্য ভার্চুয়াল মেশিন পোর্ট (পিএফএসেন্স ডিএইচসিপি থেকে 192.168.174.11 পেয়েছে)
  • ম্যানেজমেন্ট নেটওয়ার্কের জন্য ভিএম কার্নেল পোর্ট (পিএফএসেন্স ডিএইচসিপি থেকে 192.168.174.12 পেয়েছে)

pfSense কনফিগারেশন:

পিএফসেন্স নিয়মিত উইজার্ডের মাধ্যমে সেট আপ করা হয়। WAN = vSwitch0, LAN = vSwitch1। ডিএইচসিপি সার্ভার সক্ষম হয়েছে।

NAT (এই সমস্ত বন্দর ফরোয়ার্ড ট্যাবে):

  • সাধারণ সেটিংস
    পোর্ট ফরোয়ার্ডের জন্য NAT প্রতিবিম্ব: প্রতিবিম্বের জন্য
    স্বয়ংক্রিয় আউটবাউন্ড NAT অক্ষম করুন : অক্ষম

  • উইন্ডোজ ২০১২
    আরআর- তে আরডিপি ডাব্লুএন -ইন্টারফেস, প্রোটো টিসিপি এসসিআর
    *,
    এসসিআর পোর্ট * ডেস্ট ঠিকানা: ডাব্লু নেট, ডাস্ট পোর্ট: ৩৩৮৮
    ন্যাট আইপি 192.168.174.11, NAT পোর্ট 3389

  • এসএসএইচ থেকে দেবিয়ান লাইভ
    ডাব্লুএইএন-ইন্টারফেস, প্রোটো টিসিপি এসসিআর
    *,
    এসসিআর পোর্ট * ডাস্ট ঠিকানা: ডাব্ল্যান্ড নেট, ডাস্ট পোর্ট: 2222
    NAT আইপি 192.168.174.10, NAT পোর্ট 22

  • এসএসএইচ থেকে ইএসসিআই হোস্ট ডব্লিউএএন
    -ইন্টারফেস, প্রোটো টিসিপি
    এসসিআর *, এসসিআর পোর্ট * ডেস্ট ঠিকানা: ডাব্লু নেট, ডাস্ট পোর্ট: 22 নেট
    আইপি 192.168.174.12। NAT পোর্ট 22

সমস্যা / প্রশ্ন:
আরডিপি ফরোয়ার্ডিং এবং এসএসএইচ থেকে ডেবিয়ান নিখুঁতভাবে কাজ করে। আমি আমার হোম নেটওয়ার্ক থেকে উভয়ের সাথে সংযোগ করতে পারি।
তবে, আমি যদি আমার হোম নেটওয়ার্ক থেকে 5.9.100.1:22 এ সংযোগ করার চেষ্টা করি তবে আমার সংযোগ ব্যর্থ হয় (সময়সীমা শেষ)।

বাড়ি থেকে এসএসএইচ 5.9.1.1:22 কাজ করে (আমি vSphere অ্যাক্সেস করতে এসএসএইচ টানেলগুলিও ব্যবহার করি)।
উইন্ডোজ2012R2 ভিএম 192.168.174.11 থেকে এসএসআই হোস্ট 192.168.174.12:22 থেকে এসএসএইচ কাজ করে।

ডেবিয়ান এসএসএইচ এনএটি-রুলের কাজগুলি বিবেচনা করে, আমি কেন এএসসিআইএইটি-ন্যাট-রুল না করে সে সম্পর্কে বেশ আশ্চর্য হয়ে পড়েছি।
তবে, যেহেতু আমি ইএসসিআই এবং পিএফএসেন্স উভয়েই নতুন, তাই এই সমস্যাটি সঠিকভাবে কোথায় নির্ণয় করা যায় তা সম্পর্কে আমিও নিশ্চিত নই।

অনুমান করা যায়
যে ESXi এর এখনও WAN-Port- এ 'অ্যাক্সেস' রয়েছে (আপাতত - লকআউট প্রতিরোধ), pfSense পুরোপুরি এড়িয়ে যাওয়া, আমার বাড়ির নেটওয়ার্কে ট্র্যাফিক ফেরত পাঠানোর জন্য এটি ভুল পথ বেছে নিতে পারে।
যদি তাই হয়: বর্তমান সেটআপ দিয়ে এই সমস্যাটি প্রশমিত করতে আমি কি কিছু করতে পারি? যদি তা না হয় - তবে আমি কেবলমাত্র pfSense এ ওপেনভিপিএন-সার্ভার সেট আপ করতে এবং পোর্ট-ফোরওয়ার্ডিংয়ের বিষয়টি পুরোপুরি পেয়ে যেতে পারি।

ধন্যবাদ!


2
- দুঃখিত, কোনও 'সার্ভার ফল্ট' বিষয় হতে পারে?
স্যান্ডার্ড

আমি বুলেটটি পেরেছি এবং একটি ওপেনভিপিএন 'রিমোট অ্যাক্সেস' সার্ভার সেট আপ করেছি। এরপরে, ডাব্লুএএন-ভিএসউইচ থেকে পরিচালনা সরিয়ে, সমস্যাটি হাতে নিয়ে 'সমাধান' করুন। ESXi থেকে সমস্ত ট্র্যাফিক এখন pfSense ফায়ারওয়ালের উপর দিয়ে যায় - এটির আর কোনও উপায় নেই। সেই হিসাবে, এসএসএইচ নাট বিধি এখন কাজ করে, তবে আর প্রয়োজন হয় না।
20:25

আমি সম্মত হব যে এই প্রশ্নটি সার্ভারফল্টের পক্ষে আরও উপযুক্ত।
স্যামএন্ড্রু 81
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.