PfSense och portforward över vpn

Tja,

jag har en virtuell PfSense med enbart 1 nic, den maskinen agerar openvpn klient för ett nät.

vpn och så fungerar bra, maskinerna som har pfsense som default gw surfar ut via vpn.
jag har floating rules som bara tillåter udp 1194, så om vpn går ner kommer klienterna inte ut på internet.

mitt problem är nu när jag vill köra portforward på en port till en maskin, men jag får bara CLOSED:SYN_SENT i state.

kollar jag loggar på regler så är dom godkända, source -> opt1 ip -> klient ip.

det verkar på nåt sätt som allt är grönt på vägen in, men svaret går inte tillbaka ut, men inga drops enligt loggar.

jag tycker att jag även följt guiden för portforward till punk och pricka.

några tips?

@jocke92: jag vill ju NATa ut den via via vpn.

på wan interface tillåter jag som sagt bara udp 1194 via en floating rule, så tunneln kommer upp.

på otp1 interface har jag en NAT för ingående (port forward) som tillåter en viss TCP port från any till destination OTP1, med en redirect till bakomliggande klient.
detta skapar automatiskt en FW rule på interface OPT1 från ANY till min klient och den specifika porten.

i detta skede så ser jag inga drops på inkommande.

jag har även en utgående NAT på interface OTP1 för hela mitt nät som source, till destination any med any port.

så jag vet inte riktigt vart jag måste tillåta eller skapa mer för att få det att fungera.

@thu: faktiskt inte, har bara wan och sedan opt1, inget virtuell lan interface.
Tror du att det kan vara det dom spökar med port forward?

@kempes: yes. Om jag kör vpn klient direkt på en av maskinerna ifråga så fungerar det perfekt. Men så fort jag kopplar ner och låter pfsense sköta det fungerar det inte

@thu: ok, då testar att skapa ett virtuellt lan interface

edit: måste bara dubbelkolla då jag är ny med pfsense.

har du 2 olika interface tilldelade din VM?
har du 2 olika vlan assignat till ditt WAN interface?
eller har du skapat ett virtuell nic inne i pfsense?

kan även lägga till att jag kör detta på unraid, vilket är helt nytt för mig sen i onsdags. tidigare hade jag windows server och där hade jag inga problem att assigna femtioelva nätverksadaptrar till en vm. men har inte lyckats hitta hur jag gör samma lika i unraid.

@SanTeoX: jag har googlat och googlat, men jag hittar inte hur man gör det

edit: eller rättare sagt, jag har hittat plustecknet för att lägga till en nic, väljer bridge br0, men sen när jag bootar pfsense så säger den att den inte hittar några nics

edit2: nu så, tydligen lirar pfsense dåligt med virtio, så jag fick skapa maskinen och sen ändra model type på nic via xml från virtio till vmxnet3, nu ser pfsense mina virtuella nic.

@thu:

nu har jag fipplat om pfsense på nytt, har nu wan + lan + opt1 interface.
jag skapade om portforward men jag får samma problem.

jag antar att det har med mina floating rules att göra. för disablar jag dem fungerar portforward.

jag har 3 floating rules
interface wan, Pass - source/destination any på udp 1194
interface wan, Pass - source/destination any på udp 53
interface wan, Reject eny any

detta är ju för att om vpn kopplar ner ska inga maskiner kunna komma ut på internet, men otp1 interfacet ska kunna koppla upp sig igen.

jag har försökt skapa fler floating rules och då på interface opt1, för fan, när tunneln väl är uppe då är det ju på det interfacet min trafik termineras enligt mig.
men försöker jag mig på en floating på interface opt1 men typ source any, destination en klient och sen min specifika port så fungerar det ändå inte.

@thu: den där regeln borde ju uppnå precis det mina floating gör.

jag vill ju inte att klienterna ska kunna gå ut ifall vpn inte är uppe. men eftersom du specar att den bara får gå ut via vpn_gw så borde dom ju inte komma ut ifall vpn är nere.

ska testa det där ikväll

@thu: jag gjorde som du sa men det fungerade ändå inte, så fort jag stängde vpn anslutningen så surfade jag via vanliga IPn.

men jag följde denna guide och så fick jag det att fungera precis som jag ville

https://www.reddit.com/r/PFSENSE/comments/6edsav/how_to_prope...