ESXi + pfSense-NAT转发管理接口ssh

ESXi + pfSense-NAT转发管理接口ssh

最后的问题。

情况:(ips 替换为虚构示例)
我有一台(远程)专用服务器,有 1 个 NIC、2 个 IP。
一个 IP(例如 5.9.1.1)绑定到物理 NIC 的 MAC,另一个 IP(5.9.100.1)分配给“随机”MAC。
远程网络级别不存在端口过滤或 NAT。

ESXi(v5.5)安全配置文件
防火墙已启用。
所有传入连接除了SSH、DHCP 客户端、DNS 客户端仅限于 127.0.0.1 访问。
所有传出连接除了DHCP 客户端、httpClient 和 DNS 客户端仅限于 127.0.0.1 访问。SSH
服务器服务已启用,仅允许授权密钥访问(无交互式登录)。

vSwitch0(名为 WAN):

  • 绑定到物理适配器 vmnic0
  • 管理网络的 VMKernel 端口(获取 5.9.1.1 IP)
  • pfSense 的虚拟机端口(通过覆盖其 MAC 获取 5.9.100.1)

vSwitch1(名为 LAN):

  • 无物理适配器
  • pfSense 的虚拟机端口(IP 设置为 192.168.174.1 - 启用 DHCP)
  • Debian live cd 的虚拟机端口(从 pfSense DHCP 获取 192.168.174.10)
  • Windows 2012R2 的虚拟机端口(从 pfSense DHCP 获取 192.168.174.11)
  • 管理网络的 VMKernel 端口(从 pfSense DHCP 获取 192.168.174.12)

pfSense 配置:

pfSense 通过常规向导进行设置。WAN = vSwitch0,LAN = vSwitch1。DHCP 服务器已启用。

NAT(所有这些都在端口转发选项卡中):

  • 常规设置
    端口转发的 NAT 反射:禁用
    自动出站 NAT 反射:禁用

  • RDP 到 Windows2012R2
    WAN 接口,proto TCP
    src *,src 端口 *
    目标地址:WAN 网络,目标端口:3389
    NAT IP 192.168.174.11,NAT 端口 3389

  • SSH 到 Debian Live
    WAN 接口,proto TCP
    src *,src 端口 *
    目标地址:WAN 网络,目标端口:2222
    NAT IP 192.168.174.10,NAT 端口 22

  • 通过 SSH 连接到 ESXi 主机
    WAN 接口,proto TCP
    源 *,源端口 * 目标地址:WAN 网络,目标端口:22
    NAT IP 192.168.174.12。NAT 端口 22

問題/問題:
RDP 转发和 SSH 到 Debian 运行良好。我可以从我的家庭网络连接到这两个网络。
但是,如果我尝试从我的家庭网络连接到 5.9.100.1:22,我的连接会失败(超时)。

从家里到 5.9.1.1:22 的 SSH 可以正常工作(我也使用 SSH 隧道访问 vSphere)。
从 Windows2012R2 VM 192.168.174.11 到 ESXi 主机 192.168.174.12:22 的 SSH 可以正常工作。

考虑到 Debian SSH NAT 规则有效,我很困惑为什么 ESXi NAT 规则无效。
但是,由于我对 ESXi 和 pfSense 都不熟悉,所以我也不确定在哪里可以正确诊断此问题。

猜测
鉴于 ESXi 仍然可以“访问”WAN 端口(目前 - 锁定预防),完全跳过 pfSense,它可能会选择错误的路由将流量发送回我的家庭网络。
如果是这样:我可以用当前设置做些什么来缓解这个问题吗?如果不- 我还不如在 pfSense 上设置 OpenVPN 服务器并完全解决端口转发问题。

谢谢!

相关内容