публикация сервера подключенного через vpn- как?

[sergich]

всем привет. есть такая проблема и не могу ее решить (гугл тоже не помог)
суть такова: есть сервер kerio 9 с 2 сетевыми (инет и локалка). есть пара публикации серверов из локальной сети - все хорошо работает. на керио включен VPN - клиенты подключаются и спокойно работают. но вот возникла как бы не стандартная задача - есть некий vpn клиент - при подключении ему назначается нужный адрес (в настройках пользователя указан) - и пытаюсь сделать публикацию что при подключению к ИНЕТ:ПОРТ1 попасть на VPNКлиент1:ПОРТ ( что то типа такого 8.8.8.8:777 -> 10.253.10.10:888 )
если подключаться из локальной сети к VPNКлиент1:ПОРТ - то все нормально работает.
а снаружи не работает.
во вложении правила - правило access это всякие попытки мои дать доступ на разрешение, но как видно не помогло

куда копать?

[HOG]

sergich, попробуй в этом правиле вместо источника "любой" (как вы все не любите конкретизировать интерфейсы) указать конкретный WAN интерфейс.

Цитата

Сообщение от sergich

если подключаться из локальной сети к VPNКлиент1:ПОРТ - то все нормально работает.

Так как у тебя правилом выше разрешен свободный доступ туда.

Цитата

Сообщение от sergich

а снаружи не работает.

Скорее всего не указан конкретный интерфейс с которого открыт доступ.

[sergich]

без правила access доступ с локалки к клиенту был.
указание WAN в publish правиле - не помогло.

[HOG]

sergich, Ты тестируешь соединения откуда??

[sergich]

с телефона
и с домашнего компа

[HOG]

sergich, все правильно. Должно бросать. Настрой в дебаг логе показывать пакеты droprd by some reason - нужно посмотреть что режет проброс порта.

[sergich]

включил в дебаге Filtering / Packed droped - адреса VPNКлиент1 вообще нет в этом списке - пытался зайти с телефона.
всякое разное другое показывается

Добавлено через 9 минут
менял порты. искал в debug строки типа ИНЕТ:777 - нету таких...

[HOG]

sergich, Странно, все должно работать. А попробуй-ка вот так:
1.Соурс - Интернет
2. Дестинейшн - не брендмауер, а конкретный IP адрес интерфейса, прям IP

И все остальное так как сейчас есть.

[sergich]

нифига((..
причем обрати внимание - на приложенной картинке правило для публикации сервера из локалки работает отлично. а вот опубликовать сервер на vpn клиенте - не получается. хотя из локалки до него все отлично ходит

[HOG]

sergich, Ну, судя по тому, что я вижу на скрине, то правило использовалось "сейчас", то есть, поставь на этом правиле логгирование и проверь еще раз. Подозреваю, что по какой-то причине режется не на файрволе. Если в логах появится перенаправление, то причину нужно искать где-то еще.

[sergich]

тестил дополнительно через 2ip - проверял на открытость порта - пишет что порт закрыт, т.е. ответ от внутреннего сервера не приходит.
в дебаге толком нифига не вижу все равно. правило пишет что сейчас - то есть отработало. но ответа нет. как вариант - ехать на тот удаленный комп и там шаманить что нить с сетью. а то уже совсем не понятно.

[HOG]

sergich, ну так я тебе и говорю, что проблема явно не в керио. Кстати, а ты на файрволе-то порт открыл??
Source - inet
dest - firewall
service - [your_port]
Action - Permit
Translation - map to [vpn_ip_server:port]
Time - always
Protocol Inspector - none.

Ну, и посмотреть, что там на удаленном сервере.