Доступ к web в локалке из Wan и Lan.

Azot

Домены co.cc; dot.tk; freedns.afraid.org; pp.ua а это бесплатные?

Доступ из wan рассматриваю, просто писал, что с этим решено, непосредственно на ип заходим, так то конечно с внутридоменным именем и днс\ом проблемы нету, проблема в ссылке в приходящем письме, и в том что она может прийти юзеру который за пределами вам и в который в лан, а имени соотвественно пока нету ..

dr.gopher

@Azot:

Доступ из wan рассматриваю, просто писал, что с этим решено и проблем нету, непосредственно на ип заходим.

Вам ведь написали выше - поставить галку в System: Advanced: Firewall and NAT->NAT Reflection mode for port forwards

И потфорвард будет работать - локльнай сеть < - > WAN < - >локальная сеть.

Это описано в FAQ - https://forum.pfsense.org/index.php?topic=22839.msg204954#msg204954

Scodezan

@Azot:

Домены co.cc; dot.tk; freedns.afraid.org; pp.ua а это бесплатные?

Доступ из wan рассматриваю, просто писал, что с этим решено, непосредственно на ип заходим, так то конечно с внутридоменным именем и днс\ом проблемы нету, проблема в ссылке в приходящем письме, и в том что она может прийти юзеру который за пределами вам и в который в лан, а имени соотвественно пока нету ..

Домены бесплатные(по крайней мере пока). Ещё есть разнообразные dyndns сервисы.
И ещё, я в упор не могу понять в чём у Вас проблема? Локальные пользователи не могут попасть на сервер по внешнему IP, такое бывает? fw?

dvserg

@Scodezan:

@Azot:

Домены co.cc; dot.tk; freedns.afraid.org; pp.ua а это бесплатные?

Доступ из wan рассматриваю, просто писал, что с этим решено, непосредственно на ип заходим, так то конечно с внутридоменным именем и днс\ом проблемы нету, проблема в ссылке в приходящем письме, и в том что она может прийти юзеру который за пределами вам и в который в лан, а имени соотвественно пока нету ..

Домены бесплатные(по крайней мере пока). Ещё есть разнообразные dyndns сервисы.
И ещё, я в упор не могу понять в чём у Вас проблема? Локальные пользователи не могут попасть на сервер по внешнему IP, такое бывает? fw?

Бывает, если осуществляется портфорвард в ту-же сеть. Для решения проблемы ранее применялось дополнительное правило NAT, в текущей версии есть спец опция.

Azot

dr.gopher да я включал, доступа все равно нету ..

Scodezan Так точно проблема в том чтобы локальные пользователи могли попасть именно по внешнему ип, как я писал в редмайне когда происходит какое либо действие на "задачей" на почту всем "подписанным" приходит извещением непосредственно со ссылкой на объект, у меня соотвественно ссылка эта выглядит например так, http:\xx.xxx.xx.xx\proectA\issue3 … где хх это внешний адрес, так некоторым пользователям требуется доступ из интернета к этой штуке, ну и вот столкнулся что внутренние не могут зайти, либо по этому ип попадаю на веб pfsense.

Azot

Я пробовал

The NAT + proxy mode uses a helper program to send packets to the target of the port forward. It is useful in setups where the interface and/or gateway IP used for communication with the target cannot be accurately determined at the time the rules are loaded. Reflection rules are not created for ranges larger than 500 ports and will not be used for more than 1000 ports total between all port forwards. Only TCP and UDP protocols are supported.

и

The pure NAT mode uses a set of NAT rules to direct packets to the target of the port forward. It has better scalability, but it must be possible to accurately determine the interface and gateway IP used for communication with the target at the time the rules are loaded. There are no inherent limits to the number of ports other than the limits of the protocols. All protocols available for port forwards are supported.

Но всёравно набирая в лан\е внешний ип, по которому на pfsense должна сработать переадресация на внутренний ип адрес с редмайном попадаю на страницу с неправильным адресом.

Scodezan

@Azot:

буду присматриваться к msg208841 …

Тоже не то?

dr.gopher

@Azot:

dr.gopher да я включал, доступа все равно нету ..

либо по этому ип попадаю на веб pfsense.

Эээ, а порт админки PFSense вы поменяли на отличный от 80 го?

Azot

Scodezan не покачто просто ещё "не въезжал" ))

Azot

dr.gopher пока что ещё нет, "висит" на стандартном порту.

Scodezan

@dvserg:

@Scodezan:

И ещё, я в упор не могу понять в чём у Вас проблема? Локальные пользователи не могут попасть на сервер по внешнему IP, такое бывает? fw?

Бывает, если осуществляется портфорвард в ту-же сеть. Для решения проблемы ранее применялось дополнительное правило NAT, в текущей версии есть спец опция.

Короче, как вариант, добавить ещё один интерфейс и подключить сервер к нему.

Azot

Scodezan интерфейс в плане web повесить на другую подсеть, например на 192.168.100.0 ?

dr.gopher

@Azot:

пока что ещё нет, "висит" на стандартном порту.

Угу… На 80 ом. Вот потому вы и попадаете на админку PF при запросе из локальной сети к внешнему IP.

Scodezan

@Azot:

Scodezan интерфейс в плане web повесить на другую подсеть, например на 192.168.100.0 ?

Я имел ввиду сетевую… Но в общем да, на днях настраивал NAT имея на стороне LAN два IP в разных подсетях, почему-то не столкнулся с Вашей проблемой.

@dr.gopher:

@Azot:

пока что ещё нет, "висит" на стандартном порту.

Угу… На 80 ом. Вот потому вы и попадаете на админку PF при запросе из локальной сети к внешнему IP.

Не факт, но будет удобнее в дальшем Вам и обычным пользователям.

Azot

dr.gopher так то оно, да действительно да )), только получается что меня не перебрасывало правило на 65110 порт настроенный в nat для доступа к wan по http но через ип_адрес:65110.
Я настроил веб интерфэйс шлюза на другой порт и теперь соотвественно попадаю на недоступную страницу.

Scodezan может быть действительно потомчуто в разных подсетях.
А чтобы правильно настроить необходимо соотвественно в шлюз на пфсенсе установить ещё одну сетевую карту и соотвественно "web server" направить в эту новую карту, верно?

Azot

В общем ребята сделал так как в том посте (msg208841), а все равно не работет :-\

Инет отрубается у пользователей как оказалось, а на желаемый веб всёравно не шлёт ((

Scodezan

@Azot:

Scodezan может быть действительно потомчуто в разных подсетях.
А чтобы правильно настроить необходимо соотвественно в шлюз на пфсенсе установить ещё одну сетевую карту и соотвественно "web server" направить в эту новую карту, верно?

через, первый скрин меняется OPT1(192.168.100.1/24) –> 192.168.100.80/24

EternalTear

Azot
Здравствуй. Смог пробросить порт?
…таже проблема.... нужно, что бы по ссылке www.mysite.no-ip.org:808 открывался сайт как из интернета так и из локальной сети.....
Network Address Translation -> NAT Reflection mode for port forwards

Выбрал PureNAT из интернета доступ есть…. все пробрасывается... а вот из локалки не пускает... может какое-то правило в фаерволе нужно добавить?
в версии 2.0 помоему работало... хотя я с ней не долго эксперементировал... сейчас 2.1.3 стоит....

как я понял можно ведь и при создании правила просто внизу самом указать NAT reflaction вместо System default то же PureNAT

и может тему переименовать… дописать PortForward или NAT будет легче найти...

Странно... оказывается у меня работало другое правило.... на порт 8088... единственная разница что из сети LAN1 (172.21.1.0/24) заворачивало в другую сеть LAN0 (172.21.0.0/24)
а вот из 172.21.1.0/24 в себя же не работает…

Сейчас создал еще одно правило NAT на интерфейсе LAN1 .... так же внизу NAT reflaction поставил Disable в обоих правилах на порт 12843….... вроде бы работает...
ээ... так можно оставить или кривовато?... как проверить почему не работает PureNAT?

NATlan.png_thumb

werter

@EternalTear:

из интернета доступ есть…. все пробрасывается... а вот из локалки не пускает... может какое-то правило в фаерволе нужно добавить?
в версии 2.0 помоему работало... хотя я с ней не долго эксперементировал... сейчас 2.1.3 стоит....

Вы обращаетесь из лок. сети на свой же внешний адрес ? А NAT loopback для этого включен ?
Что у вас в кач-ве адреса DNS-сервера на клиентах? И зачем вам обращаться к локальному веб-серверу через внешний адрес ?

EternalTear

И зачем вам обращаться к локальному веб-серверу через внешний адрес ?

:) Директора тяжело воспринимают… когда им начинаешь объяснять разницу между внешней ссылкой и внутренней.... а у них Ноутбуки... они с ними не только в офисе сидят :)

есть программа СКАДА которая отображает информацию с сервера и там усе и видео.. и данные по станциям... у нее запрограмированы в коде внешние ссылки

а меня и так все устраивало... у меня проблем нет.... а вот у других "ссылка не работает" :)....

а DNS у нас роутер pfSense....
а что?.. как-то так (Split DNS) будет правильнее?
просто у меня входящий порт не стандартный…. а форвардит на 80...

А NAT loopback для этого включен ?

а это где?… а то в "Network Address Translation" я ж писал... включал PureNAT ... но на один сайт форвардит из одной локалки в другую....а другой сайт который в той же локалке не работало... сейчас занатил.... пока что работает