pfSense NAT ไปยังเซิร์ฟเวอร์ในซับเน็ต LAN ที่สองหลังเราเตอร์ตัวที่สองภายใน (ไม่ทำงาน)

ฉันมีไฟร์วอลล์/เราเตอร์ pfSense ที่เปิดเผยบริการบางอย่างกับ IP สาธารณะของฉัน

วิธีนี้ใช้งานได้ดี ตราบใดที่บริการอยู่บนเครือข่ายย่อย LAN หลัก (192.168.1.0/24) ขอเรียกว่า LAN-A.

เช่น. งานนี้:

public_ip:443 -> pfSense (NAT) -> 192.168.1.20:5443 (พร็อกซีย้อนกลับ)

ฉันมี LAN ที่สองเพิ่มเติม 192.168.88.0/24ขอเรียกมันว่า แลน-บีที่อยู่ด้านหลัง ไมโครติ๊ก เปิดเราเตอร์ 192.168.1.111. ใน pfSense ฉันมีเส้นทางคงที่สำหรับเครือข่าย 192.168.88.0/24 ระบุ 192.168.1.111 เป็นประตูสู่มัน

จาก LAN-A ตอนนี้ฉันสามารถเชื่อมต่อกับโฮสต์ใน แลน-บี, เช่น. 192.168.88.10โปร่งใสเหมือนกับเป็นเจ้าภาพใน LAN-A (นอกจากเรื่องแปลกๆกับ จุ๊ๆ กล่าวถึงที่นี่ยังไม่ได้รับการแก้ไข). (โฮสต์บน แลน-บี ยังสามารถเชื่อมต่ออินเทอร์เน็ตได้ตามปกติ เนื่องจากว่า ไมโครติ๊ก เราเตอร์ระบุ pfSense เปิดกล่อง 192.168.1.1 เป็นประตูสู่ลูกค้า)

จนถึงตอนนี้ดีมาก แต่ตอนนี้ฉันต้องการเปิดเผยบริการบน แลน-บี, พูด 192.168.88.10:10000 ผ่าน NAT บน IP ภายนอกของฉัน ดังนั้นฉันจึงทำตามปกติ:

public_ip:10000 -> pfSense (NAT+กฎ) -> 192.168.88.10:10000

อย่างไรก็ตามสิ่งนี้ใช้ไม่ได้ (และ แผนที่ จากภายนอกแสดงพอร์ตเป็น กรองอยู่ที่ไหนภายใน LAN เปิด). ดูเหมือนว่าตรรกะ NAT จะไม่รู้เกี่ยวกับเส้นทางคงที่ของฉัน

ดูเหมือนจะมีเหตุผลเพราะเส้นทางคงที่ "มีชีวิต" ในขอบเขตของอินเทอร์เฟซในเครื่องของฉัน (แลนบริดจ์) ของ pfSense และไฟร์วอลล์ (NAT) ระหว่าง วาน และ แลนบริดจ์ดังนั้นจึงอาจไม่ทราบการเชื่อมต่อกับ 192.168.88.0/24 ผ่านไป 192.168.1.111. แต่จะทำให้งานนี้ได้อย่างไร?

พบปัญหา (สำหรับการอ้างอิงในภายหลังและอาจช่วยผู้อื่นได้):

การตั้งค่าที่อธิบายไว้ (OP) ใช้ได้บน pfSense ด้านข้าง.

ปัญหาก็คือว่า ไมโครติ๊ก เราเตอร์ควรส่งต่อ (forward chain) สำหรับที่อยู่ต้นทางจริง (เช่น ที่อยู่ที่เชื่อมต่อกับ IP ภายนอก) ซึ่งจะเป็น 0.0.0.0/0 และไม่เฉพาะที่อยู่เท่านั้น 192.168.1.0/24. ด้วยเหตุผลด้านความปลอดภัย กฎการส่งต่อสามารถจำกัดไว้เฉพาะบางพอร์ตหากจำเป็น