Доступ к web в локалке из Wan и Lan.
-
Ребят спасибо, буду пробовать.
- попробовал поочереди ENABLE: Nat+Proxy и PureNAT, "не заходит", буду присматриваться к msg208841 …
-
А что мешает обзавестись именем? Кстати, провайдеры иногда меняют внешний IP, и иногда без предупреждения.
Если как Вы хотели выше надо править hosts удаленных клиентов, локальных возьмёт на себя локальный DNS сервер. Естественно, веб серверу надо дать буквенное имя.
-
Scodezan Это отдельные деньги, а redmine организован мною так сказать на "добровольных началах".
Меняют присвоенный ип адрес по договору?По поводу hosts, мы не рассматривает доступ из wan, с ним все нормально.
А вот на счет внутренний сети, Hosts прописывается в виндовсе в формате:
ип_адрес <-> имя
и соотвественно если
ип_адрес1<->ип_адрес2 такой вариант не работает. -
Домены co.cc; dot.tk; freedns.afraid.org; pp.ua не рассматриваются?
@Azot:Меняют присвоенный ип адрес по договору?
Это врядли конечно, но жалобы от коллег по кухне слышал неоднократно.
Рекомендовали опираться на свой внутренний сервер DNS, если нет публичного имени.По поводу hosts, мы не рассматривает доступ из wan, с ним все нормально.
А вот на счет внутренний сети, Hosts прописывается в виндовсе в формате:
ип_адрес <-> имя
и соотвественно если
ип_адрес1<->ип_адрес2 такой вариант не работает.В чём проблема, если Вы не рассматриваете доступ из WAN??? Пишите в качестве имени redmine локальный IP.
А адрес1<->ип_адрес в hosts работать не будет, выкиньте эту дурацкую идею из головы))). -
Домены co.cc; dot.tk; freedns.afraid.org; pp.ua а это бесплатные?
Доступ из wan рассматриваю, просто писал, что с этим решено, непосредственно на ип заходим, так то конечно с внутридоменным именем и днс\ом проблемы нету, проблема в ссылке в приходящем письме, и в том что она может прийти юзеру который за пределами вам и в который в лан, а имени соотвественно пока нету ..
-
Доступ из wan рассматриваю, просто писал, что с этим решено и проблем нету, непосредственно на ип заходим.
Вам ведь написали выше - поставить галку в System: Advanced: Firewall and NAT->NAT Reflection mode for port forwards
И потфорвард будет работать - локльнай сеть < - > WAN < - >локальная сеть.
Это описано в FAQ - https://forum.pfsense.org/index.php?topic=22839.msg204954#msg204954
-
Домены co.cc; dot.tk; freedns.afraid.org; pp.ua а это бесплатные?
Доступ из wan рассматриваю, просто писал, что с этим решено, непосредственно на ип заходим, так то конечно с внутридоменным именем и днс\ом проблемы нету, проблема в ссылке в приходящем письме, и в том что она может прийти юзеру который за пределами вам и в который в лан, а имени соотвественно пока нету ..
Домены бесплатные(по крайней мере пока). Ещё есть разнообразные dyndns сервисы.
И ещё, я в упор не могу понять в чём у Вас проблема? Локальные пользователи не могут попасть на сервер по внешнему IP, такое бывает? fw? -
Домены co.cc; dot.tk; freedns.afraid.org; pp.ua а это бесплатные?
Доступ из wan рассматриваю, просто писал, что с этим решено, непосредственно на ип заходим, так то конечно с внутридоменным именем и днс\ом проблемы нету, проблема в ссылке в приходящем письме, и в том что она может прийти юзеру который за пределами вам и в который в лан, а имени соотвественно пока нету ..
Домены бесплатные(по крайней мере пока). Ещё есть разнообразные dyndns сервисы.
И ещё, я в упор не могу понять в чём у Вас проблема? Локальные пользователи не могут попасть на сервер по внешнему IP, такое бывает? fw?Бывает, если осуществляется портфорвард в ту-же сеть. Для решения проблемы ранее применялось дополнительное правило NAT, в текущей версии есть спец опция.
-
dr.gopher да я включал, доступа все равно нету ..
Scodezan Так точно проблема в том чтобы локальные пользователи могли попасть именно по внешнему ип, как я писал в редмайне когда происходит какое либо действие на "задачей" на почту всем "подписанным" приходит извещением непосредственно со ссылкой на объект, у меня соотвественно ссылка эта выглядит например так, http:\xx.xxx.xx.xx\proectA\issue3 … где хх это внешний адрес, так некоторым пользователям требуется доступ из интернета к этой штуке, ну и вот столкнулся что внутренние не могут зайти, либо по этому ип попадаю на веб pfsense.
-
Я пробовал
The NAT + proxy mode uses a helper program to send packets to the target of the port forward. It is useful in setups where the interface and/or gateway IP used for communication with the target cannot be accurately determined at the time the rules are loaded. Reflection rules are not created for ranges larger than 500 ports and will not be used for more than 1000 ports total between all port forwards. Only TCP and UDP protocols are supported.
и
The pure NAT mode uses a set of NAT rules to direct packets to the target of the port forward. It has better scalability, but it must be possible to accurately determine the interface and gateway IP used for communication with the target at the time the rules are loaded. There are no inherent limits to the number of ports other than the limits of the protocols. All protocols available for port forwards are supported.
Но всёравно набирая в лан\е внешний ип, по которому на pfsense должна сработать переадресация на внутренний ип адрес с редмайном попадаю на страницу с неправильным адресом.
-
-
dr.gopher да я включал, доступа все равно нету ..
либо по этому ип попадаю на веб pfsense.
Эээ, а порт админки PFSense вы поменяли на отличный от 80 го?
-
Scodezan не покачто просто ещё "не въезжал" ))
-
dr.gopher пока что ещё нет, "висит" на стандартном порту.
-
И ещё, я в упор не могу понять в чём у Вас проблема? Локальные пользователи не могут попасть на сервер по внешнему IP, такое бывает? fw?
Бывает, если осуществляется портфорвард в ту-же сеть. Для решения проблемы ранее применялось дополнительное правило NAT, в текущей версии есть спец опция.
Короче, как вариант, добавить ещё один интерфейс и подключить сервер к нему.
-
Scodezan интерфейс в плане web повесить на другую подсеть, например на 192.168.100.0 ?
-
пока что ещё нет, "висит" на стандартном порту.
Угу… На 80 ом. Вот потому вы и попадаете на админку PF при запросе из локальной сети к внешнему IP.
-
Scodezan интерфейс в плане web повесить на другую подсеть, например на 192.168.100.0 ?
Я имел ввиду сетевую… Но в общем да, на днях настраивал NAT имея на стороне LAN два IP в разных подсетях, почему-то не столкнулся с Вашей проблемой.
пока что ещё нет, "висит" на стандартном порту.
Угу… На 80 ом. Вот потому вы и попадаете на админку PF при запросе из локальной сети к внешнему IP.
Не факт, но будет удобнее в дальшем Вам и обычным пользователям.
-
dr.gopher так то оно, да действительно да )), только получается что меня не перебрасывало правило на 65110 порт настроенный в nat для доступа к wan по http но через ип_адрес:65110.
Я настроил веб интерфэйс шлюза на другой порт и теперь соотвественно попадаю на недоступную страницу.Scodezan может быть действительно потомчуто в разных подсетях.
А чтобы правильно настроить необходимо соотвественно в шлюз на пфсенсе установить ещё одну сетевую карту и соотвественно "web server" направить в эту новую карту, верно? -
В общем ребята сделал так как в том посте (msg208841), а все равно не работет :-\
Инет отрубается у пользователей как оказалось, а на желаемый веб всёравно не шлёт ((