Redirection de port ne fonctionne pas
-
Bonjour à tous
Je vous expose mon problème
Contexte : C'est en milieu pro, je suis développeur web et je suis le seul à avoir la main sur PfSense (version 2.0.1) déjà en place et fonctionnel pour nos internautes
Besoin : Ajouter d'autres redirection NAT à celui déjà en place (* -> 80)
Schéma :
WAN (modem/routeur/box) : L'adresse IP WAN est une IP publique, directement branchée à notre fournisseur Fibre
LAN : 1 réseau LAN (192.168.10.0), baux d'adresse fixe
DMZ : aucune
WIFI : aucun
Autres interfaces : aucun
Règles NAT :
Port forward : WAN *:80 -> haproxy:90 (pfsense) cette règle fonctionne et est utilisée
1:1 : Aucun
Outbound : AutoRègles Firewall :
AucunePackages ajoutés : haproxy
Autres fonctions assignées au pfSense : Service HAProxy sur ip LAN:90 avec un pool de 15 serveurs:80
Question :
Il existe déjà une règle NAT, sur le port 80, en place et utilisée qui permet à nos internautes d'atteindre notre haproxy sur le LAN avec nos serveurs WEB (15)
Tout fonctionne très bien.
Cependant, j'aimerai ajouter le port https grâce à une machine du LAN qui fait du SSL, avec certificats valide.En effet, nous avons, sur un autre domaine, un PfSense (Version 1.2.3) qui fonctionnement de la même manière, mais avec une machine haproxy dans le LAN et non pas dans le service de ce Pfsense.
A partir du moment où je tente d'ajouter ce port, l'accès est en timeout tout le temps..
Idem pour tout autre ajout de port (WAN:8080 -> LANTEST:80)Pistes imaginées
Recherches : J'ai tenté d'ajouter les règles NAT à chaque fois en tentant plusieurs solutions avec les sources et destination. Avec les règles générées automatiquement, mais impossible d'activer le port HTTPS
Logs et tests : en images
Merci d'avance de m'aider, au pire de comprendre NAT et RULES avec les sources et destination, au mieux de m'aider à résoudre le problème.
Pour mettre à jour l'autre pfsense, qui est trop vieux, il ne faut pas que je coupe le service donc j'aimerai basculer d'un domaine à un autre
-
Je vous joint deux images du réseau actuel et du réseau que l'on aimerai.
Comprenez que l'on a deux domaine (.fr et .net)
-
Deux généralités tant je ne sais par ou commencer dans ce plat de spaghettis.
1. Si une configuration Pfsense + reverse fonctionne alors rien à toucher sur Pfsense. Celui ci est ouvert sur wan pour Tcp 80 etg 443: règle de filtrage. Puis translation vers le reverse qui fait l'aiguillage selon l'URL de base vers le serveur web de destination.
2. Une architecture rationnelle et plus sûre serait en effet Pfsense avec la configuration wan déjà décrite. Une troisième interface pour une dmz dans laquelle se trouve le reverse HAproxy ou autre (Kemp Free Loadmaster est très bien). Les serveurs web sont dans lan. Ceux ci n'acceptant de connexion que venant de la dmz. Les règles de filtrage sont dans Pfsense. Le reverse fait l'aiguillage selon l'URL de base demandée.
Que vous ayez un, deux ou trente domaines ne change strictement rien.Faites simple, maintanable et en prime sûr. Vous pourrez centraliser la gestion de nombreux paramètres sur le reverse.
Je ne comprend pas ce que vous essayez de faire avec vos règles notamment 443 en port source.
Et le précédente qui ouvre tout, ou presque !