Multiwan: Проблема с доступом к некоторым сайтам
-
Добрый день,
Имеется сервер dell PE1800 с установленным PfSense 64 бит (обновленный с версии 2.2.4) 2.3.2-RELEASE.
В последние 2 дня не открываются сайт ng.ru (188.40.89.58) и inosmi.ru (178.248.232.60)
inosmi.ru то открывается, то нет (чаще), а ng.ru выдает ошибку 403 ForbiddenНа встроенной сетевой карточке intel em настроены vlan для внешних сетей (3 ISP - Uznet 27, Uznet213, SITA 151).
провайдер Uznet (общий канал 30 Мбс) блокирует доступ к некоторым сайтам (одиозным, новостным и т.д.) и ресурсам (IPsec, VoIP и др.), так что приходиться в таких случаях использовать медленный SITA (2 Мбс).Использовал такую схему для решения:
1.по SITA пинговал веб-сайт, затем его IP вбивал в алиас SITA_WEB в Firewall/Aliases/IP
2. Этот же IP в паре с именем домена (inosmi.ru + www.inosmi.ru) вбивал в Services/DNS Resolver/General Settings/Host Overrides, чтобы всегда отдавал один и тот же IP клиентам
3. Алиас SITA_WEB добавил в статический маршрут в System/Routing/Static Routes с указанием шлюза SITA_GW
4. В правилах локального интерфейса Firewall/Rules/DMZ указал источник - сеть ЛАН, назначение - Алиас SITA_WEB, шлюз - SITA_GW762/530.38 MiB IPv4 * DMZ net * SITA WEB * SITA151GW none ALLOW blocked sites to SITA
До сих пор этот метод работал безотказно для около 100 сайтов.
Путь трассировки с локальной сети до сайта показывает что используется шлюз SITA_GW.
В Diagnostics/States при сортировке по IP cайтов показывает, что SYN_SENT:CLOSED и CLOSED:SYN_SENT, а количество пакетов первое значение - N, второе всегда 0 (N/0).
Кстати, почему-то в Diagnostics/States после фильтрации по IP-адресу часто сессии не очищаются, приходится вручную удалять. Это нормально?При этом, эти сайты без проблем открываются через SITA, если подключить компьютер напрямую к роутеру
В чем может быть проблема?
-
Мужики ну помогите, пожалуйста.
Доп инфо.
states for ng.ru (403 forbidden)LAN1 tcp 192.168.1.164:30286 -> 188.40.89.58:80 ESTABLISHED:ESTABLISHED 20 / 13 6 KiB / 3 KiB SITA151 tcp x.x.151.183:28775 (192.168.1.164:30286) -> 188.40.89.58:80 ESTABLISHED:ESTABLISHED 20 / 13 6 KiB / 3 KiB ``` **states for inosmi.ru**
LAN1 tcp 192.168.1.110:54401 -> 178.248.232.60:80 CLOSED:SYN_SENT 3 / 0 152 B / 0 B
SITA151 tcp x.x.151.183:45974 (192.168.1.110:54401) -> 178.248.232.60:80 SYN_SENT:CLOSED 3 / 0 152 B / 0 B
LAN1 tcp 192.168.1.110:54403 -> 178.248.232.60:80 CLOSED:SYN_SENT 3 / 0 152 B / 0 B
SITA151 tcp x.x.151.183:58359 (192.168.1.110:54403) -> 178.248.232.60:80 SYN_SENT:CLOSED 3 / 0 152 B / 0 B
LAN1 tcp 192.168.1.110:54407 -> 178.248.232.60:80 CLOSED:SYN_SENT 3 / 0 152 B / 0 B
SITA151 tcp x.x.151.183:22841 (192.168.1.110:54407) -> 178.248.232.60:80 SYN_SENT:CLOSED 3 / 0 152 B / 0 B**packet capture on LAN for ng.ru**
11:26:25.037718 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 5623, offset 0, flags , proto TCP (6), length 52)
192.168.1.164.30239 > 188.40.89.58.80: Flags , cksum 0x924c (correct), seq 4291653341, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:26:25.051331 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 5628, offset 0, flags , proto TCP (6), length 52)
192.168.1.164.30241 > 188.40.89.58.80: Flags , cksum 0x801e (correct), seq 1736776018, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:26:25.169843 00:0a:5e:08:71:06 > 98:90:96:ad:d0:ae, ethertype IPv4 (0x0800), length 66: (tos 0x40, ttl 54, id 9662, offset 0, flags , proto TCP (6), length 52)
188.40.89.58.80 > 192.168.1.164.30239: Flags [S.], cksum 0xd98d (correct), seq 239702357, ack 4291653342, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 9], length 011:26:25.170286 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 128, id 5632, offset 0, flags , proto TCP (6), length 40)
192.168.1.164.30239 > 188.40.89.58.80: Flags [.], cksum 0x1341 (correct), seq 1, ack 1, win 16425, length 011:26:25.171017 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 5633, offset 0, flags , proto TCP (6), length 52)
192.168.1.164.30243 > 188.40.89.58.80: Flags , cksum 0x18ad (correct), seq 2030989112, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:26:25.183831 00:0a:5e:08:71:06 > 98:90:96:ad:d0:ae, ethertype IPv4 (0x0800), length 66: (tos 0x40, ttl 54, id 51180, offset 0, flags , proto TCP (6), length 52)
188.40.89.58.80 > 192.168.1.164.30241: Flags [S.], cksum 0xfd3a (correct), seq 3001530075, ack 1736776019, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 9], length 011:26:25.184035 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 128, id 5634, offset 0, flags , proto TCP (6), length 40)
192.168.1.164.30241 > 188.40.89.58.80: Flags [.], cksum 0x36ee (correct), seq 1, ack 1, win 16425, length 011:26:25.185792 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 525: (tos 0x0, ttl 128, id 5635, offset 0, flags , proto TCP (6), length 511)
192.168.1.164.30241 > 188.40.89.58.80: Flags [P.], cksum 0xd7e2 (correct), seq 1:472, ack 1, win 16425, length 47111:26:25.311653 00:0a:5e:08:71:06 > 98:90:96:ad:d0:ae, ethertype IPv4 (0x0800), length 66: (tos 0x40, ttl 54, id 13342, offset 0, flags , proto TCP (6), length 52)
188.40.89.58.80 > 192.168.1.164.30243: Flags [S.], cksum 0x5fa0 (correct), seq 3700867925, ack 2030989113, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 9], length 011:26:25.311907 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 128, id 5636, offset 0, flags , proto TCP (6), length 40)
192.168.1.164.30243 > 188.40.89.58.80: Flags [.], cksum 0x9953 (correct), seq 1, ack 1, win 16425, length 011:26:25.325500 00:0a:5e:08:71:06 > 98:90:96:ad:d0:ae, ethertype IPv4 (0x0800), length 54: (tos 0x40, ttl 54, id 24132, offset 0, flags , proto TCP (6), length 40)
188.40.89.58.80 > 192.168.1.164.30241: Flags [.], cksum 0x7521 (correct), seq 1, ack 472, win 31, length 011:26:25.326994 00:0a:5e:08:71:06 > 98:90:96:ad:d0:ae, ethertype IPv4 (0x0800), length 380: (tos 0x40, ttl 54, id 12721, offset 0, flags , proto TCP (6), length 366)
188.40.89.58.80 > 192.168.1.164.30241: Flags [P.], cksum 0x5418 (correct), seq 1:327, ack 472, win 31, length 32611:26:25.527244 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 56: (tos 0x0, ttl 128, id 5637, offset 0, flags , proto TCP (6), length 40)
192.168.1.164.30241 > 188.40.89.58.80: Flags [.], cksum 0x3423 (correct), seq 472, ack 327, win 16343, length 0**packet capture on SITA151 for ng.ru**
11:27:57.056526 00:15:c5:88:1e:83 > f8:72:ea:68:82:00, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 48868, offset 0, flags , proto TCP (6), length 52)
x.x.151.183.18524 > 188.40.89.58.80: Flags , cksum 0x3acc (correct), seq 451899, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:27:57.188907 f8:72:ea:68:82:00 > 00:15:c5:88:1e:83, ethertype IPv4 (0x0800), length 66: (tos 0x40, ttl 55, id 0, offset 0, flags , proto TCP (6), length 52)
188.40.89.58.80 > x.x.151.183.18524: Flags [S.], cksum 0xd976 (correct), seq 3924385355, ack 451900, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 9], length 011:27:57.189427 00:15:c5:88:1e:83 > f8:72:ea:68:82:00, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 128, id 63634, offset 0, flags , proto TCP (6), length 40)
x.x.151.183.18524 > 188.40.89.58.80: Flags [.], cksum 0x132a (correct), seq 1, ack 1, win 16425, length 011:27:57.194542 00:15:c5:88:1e:83 > f8:72:ea:68:82:00, ethertype IPv4 (0x0800), length 551: (tos 0x0, ttl 128, id 53518, offset 0, flags , proto TCP (6), length 537)
x.x.151.183.18524 > 188.40.89.58.80: Flags [P.], cksum 0x4907 (correct), seq 1:498, ack 1, win 16425, length 49711:27:57.331339 f8:72:ea:68:82:00 > 00:15:c5:88:1e:83, ethertype IPv4 (0x0800), length 60: (tos 0x40, ttl 55, id 12592, offset 0, flags , proto TCP (6), length 40)
188.40.89.58.80 > x.x.151.183.18524: Flags [.], cksum 0x5143 (correct), seq 1, ack 498, win 31, length 011:27:57.334447 f8:72:ea:68:82:00 > 00:15:c5:88:1e:83, ethertype IPv4 (0x0800), length 380: (tos 0x40, ttl 55, id 12593, offset 0, flags , proto TCP (6), length 366)
188.40.89.58.80 > x.x.151.183.18524: Flags [P.], cksum 0x2e3b (correct), seq 1:327, ack 498, win 31, length 32611:27:57.535233 00:15:c5:88:1e:83 > f8:72:ea:68:82:00, ethertype IPv4 (0x0800), length 54: (tos 0x0, ttl 128, id 4416, offset 0, flags , proto TCP (6), length 40)
x.x.151.183.18524 > 188.40.89.58.80: Flags [.], cksum 0x1045 (correct), seq 498, ack 327, win 16343, length 0**packet capture on LAN for inosmi.ru**
11:33:11.271975 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 6261, offset 0, flags , proto TCP (6), length 52)
192.168.1.164.30311 > 178.248.232.60.80: Flags , cksum 0x8108 (correct), seq 1594464971, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:33:11.522529 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 6279, offset 0, flags , proto TCP (6), length 52)
192.168.1.164.30313 > 178.248.232.60.80: Flags , cksum 0x49d0 (correct), seq 2309924700, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:33:14.272012 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 6306, offset 0, flags , proto TCP (6), length 52)
192.168.1.164.30311 > 178.248.232.60.80: Flags , cksum 0x8108 (correct), seq 1594464971, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:33:14.516047 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 6307, offset 0, flags , proto TCP (6), length 52)
192.168.1.164.30313 > 178.248.232.60.80: Flags , cksum 0x49d0 (correct), seq 2309924700, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:33:20.266430 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 62: (tos 0x0, ttl 128, id 6311,
offset 0, flags , proto TCP (6), length 48)
192.168.1.164.30311 > 178.248.232.60.80: Flags , cksum 0x9511 (correct), seq 1594464971, win 8192, options [mss 1460,nop,nop,sackOK], length 011:33:20.516339 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 62: (tos 0x0, ttl 128, id 6312, offset 0, flags , proto TCP (6), length 48)
192.168.1.164.30313 > 178.248.232.60.80: Flags , cksum 0x5dd9 (correct), seq 2309924700, win 8192, options [mss 1460,nop,nop,sackOK], length 011:33:32.271890 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 6322, offset 0, flags , proto TCP (6), length 52)
192.168.1.164.30316 > 178.248.232.60.80: Flags , cksum 0x40da (correct), seq 1316285321, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:33:32.523542 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 6323, offset 0, flags , proto TCP (6), length 52)
192.168.1.164.30318 > 178.248.232.60.80: Flags , cksum 0x4f89 (correct), seq 2369101335, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:33:35.273376 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 6327, offset 0, flags , proto TCP (6), length 52)
192.168.1.164.30316 > 178.248.232.60.80: Flags , cksum 0x40da (correct), seq 1316285321, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:33:35.523316 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 6328, offset 0, flags , proto TCP (6), length 52)
192.168.1.164.30318 > 178.248.232.60.80: Flags , cksum 0x4f89 (correct), seq 2369101335, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:33:41.276039 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 62: (tos 0x0, ttl 128, id 6332, offset 0, flags , proto TCP (6), length 48)
192.168.1.164.30316 > 178.248.232.60.80: Flags , cksum 0x54e3 (correct), seq 1316285321, win 8192, options [mss 1460,nop,nop,sackOK], length 011:33:41.516843 98:90:96:ad:d0:ae > 00:0a:5e:08:71:06, ethertype IPv4 (0x0800), length 62: (tos 0x0, ttl 128, id 6333, offset 0, flags , proto TCP (6), length 48)
192.168.1.164.30318 > 178.248.232.60.80: Flags , cksum 0x6392 (correct), seq 2369101335, win 8192, options [mss 1460,nop,nop,sackOK], length 0**packet capture on SITA151 for ng.ru**
11:36:09.201736 00:15:c5:88:1e:83 > f8:72:ea:68:82:00, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 21188, offset 0, flags , proto TCP (6), length 52)
x.x.151.183.6805 > 178.248.232.60.80: Flags , cksum 0x0956 (correct), seq 4010397602, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:36:09.453032 00:15:c5:88:1e:83 > f8:72:ea:68:82:00, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 20063, offset 0, flags , proto TCP (6), length 52)
x.x.151.183.31524 > 178.248.232.60.80: Flags , cksum 0x2c8a (correct), seq 961413531, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:36:12.208786 00:15:c5:88:1e:83 > f8:72:ea:68:82:00, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 39327, offset 0, flags , proto TCP (6), length 52)
x.x.151.183.6805 > 178.248.232.60.80: Flags , cksum 0x0956 (correct), seq 4010397602, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:36:12.458782 00:15:c5:88:1e:83 > f8:72:ea:68:82:00, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 8321, offset 0, flags , proto TCP (6), length 52)
x.x.151.183.31524 > 178.248.232.60.80: Flags , cksum 0x2c8a (correct), seq 961413531, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:36:16.625279 00:15:c5:88:1e:83 > f8:72:ea:68:82:00, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 48509, offset 0, flags , proto TCP (6), length 52)
x.x.151.183.25498 > 178.248.232.60.80: Flags , cksum 0xba85 (correct), seq 2543856855, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:36:16.875155 00:15:c5:88:1e:83 > f8:72:ea:68:82:00, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 36204, offset 0, flags , proto TCP (6), length 52)
x.x.151.183.30899 > 178.248.232.60.80: Flags , cksum 0xa9a1 (correct), seq 4276470108, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:36:18.204186 00:15:c5:88:1e:83 > f8:72:ea:68:82:00, ethertype IPv4 (0x0800), length 62: (tos 0x0, ttl 128, id 52843, offset 0, flags , proto TCP (6), length 48)
x.x.151.183.6805 > 178.248.232.60.80: Flags , cksum 0x1d5f (correct), seq 4010397602, win 8192, options [mss 1460,nop,nop,sackOK], length 011:36:18.453287 00:15:c5:88:1e:83 > f8:72:ea:68:82:00, ethertype IPv4 (0x0800), length 62: (tos 0x0, ttl 128, id 63430, offset 0, flags , proto TCP (6), length 48)
x.x.151.183.31524 > 178.248.232.60.80: Flags , cksum 0x4093 (correct), seq 961413531, win 8192, options [mss 1460,nop,nop,sackOK], length 011:36:19.625366 00:15:c5:88:1e:83 > f8:72:ea:68:82:00, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 26386, offset 0, flags , proto TCP (6), length 52)
x.x.151.183.25498 > 178.248.232.60.80: Flags , cksum 0xba85 (correct), seq 2543856855, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:36:19.874360 00:15:c5:88:1e:83 > f8:72:ea:68:82:00, ethertype IPv4 (0x0800), length 66: (tos 0x0, ttl 128, id 59660, offset 0, flags , proto TCP (6), length 52)
x.x.151.183.30899 > 178.248.232.60.80: Flags , cksum 0xa9a1 (correct), seq 4276470108, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 011:36:25.627676 00:15:c5:88:1e:83 > f8:72:ea:68:82:00, ethertype IPv4 (0x0800), length 62: (tos 0x0, ttl 128, id 50339, offset 0, flags , proto TCP (6), length 48)
x.x.151.183.25498 > 178.248.232.60.80: Flags , cksum 0xce8e (correct), seq 2543856855, win 8192, options [mss 1460,nop,nop,sackOK], length 011:36:25.874599 00:15:c5:88:1e:83 > f8:72:ea:68:82:00, ethertype IPv4 (0x0800), length 62: (tos 0x0, ttl 128, id 10667, offset 0, flags , proto TCP (6), length 48)
x.x.151.183.30899 > 178.248.232.60.80: Flags , cksum 0xbdaa (correct), seq 4276470108, win 8192, options [mss 1460,nop,nop,sackOK], length 0 -
Доброе.
Скрины настроек fw на LAN покажите.P.s. Как вариант - купите самую дешевую vds на ihor или ovh. Разверните в ней это - https://pritunl.com/ (https://habrahabr.ru/company/infobox/blog/248445/ https://github.com/pritunl/pritunl https://www.vultr.com/docs/setup-a-vpn-server-with-pritunl-on-ubuntu) и заворачивайте весь блокирумый трафик в этот туннель. Или вообще ВЕСЬ трафик.
P.p.s. И пусть впн-сервер "слушает" стандартный порт - 80\TCP, 443\TCP, 53\tcp или udp, 123\UDP.
-
Шикарный вариант!!!
К сожалению, пытался реализовать еще 2 года назад, но не получил добро руководства.
Картинки прилепил, в т.ч. httpfox analyzer, когда сайт inosmi.ru не открывается и открывается через интерфейс Uznet9 (без проблем)
-
Честно ? У вас столько всего накручено, что надо не один день разбираться.
Возьмите лист бумаги и ручку. По пунктам распишите кому куда можно и надо. Можно в картинках.
Теребите рук-во по поводу ОпенВПН - это стОит копейки, сохраняйте бэкап конфига, удаляйте все правила. На всех интерфейсах временно разрешите всё , всем по всем протоколам.
После , исп. то , что нарисовали выше заново все настройте.
-
Спасибо за отклик.
Решил по вашему совету сделать новый сервак с чистого pfsense 2.3.2 с другими IP (без апгрейда и без заливки старого конфига) и по одному добавлять функционал и правила из старого (пока еще действующего).
Посмотрим, если заработает то отпишусь. Займет день-два.P.p.s. И пусть впн-сервер "слушает" стандартный порт - 80\TCP, 443\TCP, 53\tcp или udp, 123\UDP
А про это можно подробнее, не очень понял что надо делать
И еще вопрос, если я сохраню конфиг нового pfsense и добавлю туда алиасы (очень много, не охота вручную вбивать) из старого, и затем залью обратно на новый, каких-либо проблем не возникнет?
-
Доброе
И еще вопрос, если я сохраню конфиг нового pfsense и добавлю туда алиасы (очень много, не охота вручную вбивать) из старого, и затем залью обратно на новый, каких-либо проблем не возникнет?
Да кто ж его знает. Проверяйте по живому.
З.ы. Можно же всегда откатиться, имея бэкап конфига.