Веб-сервер за pfsense и двумя провайдерами.

tazman_555 · Oct 31, 2016, 8:01 AM

Приветствую. Имеется pfsense, 2 провайдера, адреса белые. В локальной сети есть веб-сервер nginx. Настроены проброс порта 80 и правила для фаервола.
Результат: по IP Wan1 все работает и из интернета веб-сервер доступен, а по IP WAN2 нет, connection timeout. Вопрос, на pfsense вообще возможно настроить такую схему и в какую сторону копать? Заранее спасибо за подсказки.

PbIXTOP · Oct 31, 2016, 9:37 AM

Проверяйте - правильно ли настроили https://forum.pfsense.org/index.php?topic=60537.msg337644#msg337644

tazman_555 · Oct 31, 2016, 3:58 PM

Спасибо за наводку, прочитал, но половины не понял, туго с английским. Сижу парюсь дальше. Буду благодарен, если ткнете пальцем

PbIXTOP · Nov 1, 2016, 1:23 AM

Если грубо переводить - там написано
Проверяйте чтоб на всех внешних интерфейсах были прописаны шлюзы
Убедитесь что у вас не отключен "reply-to" используемый по умолчанию.

tazman_555 · Nov 1, 2016, 5:47 AM

Настроил так:
#1 interface group не используется.
#2 reply-to not checked.
#3 reply-to not checked.
#4 в настройках интерфейсов WAN и WAN2 указал gateway провайдеров вручную.
Результат тот же, WAN2 не пробрасывает трафик на порт веб-сервера.

Scodezan · Nov 1, 2016, 7:06 AM

кхм, а скрин с правилами NAT?

tazman_555 · Nov 1, 2016, 8:11 AM

Скрин всех портов или только WAN2? Может сразу еще что-нибудь приложить?

tazman_555 · Nov 1, 2016, 4:55 PM

вот никак не получается убрать галочку "Default Gateway" у любого из шлюзов в /system_gateways.php, снимаю, сохраняю, а она все там же((

werter · Nov 2, 2016, 2:34 PM

Галка на Allow def gw switching стоит ?

tazman_555 · Nov 2, 2016, 2:36 PM

Если вы про Default gateway switching в меню System Advanced Miscellaneous то да стоит

werter · Nov 2, 2016, 2:43 PM

Порты для веб-фейса пф сменили с 80\443 на нестандарт ?

tazman_555 · Nov 2, 2016, 2:44 PM

Да, сделал это с самого начала

werter · Nov 2, 2016, 2:45 PM

А вы откуда доступность веб-серверов проверяете ? Изнутри или с др провайдера ?

tazman_555 · Nov 2, 2016, 2:47 PM

Изнутри проверяю вижу веб-сервер по обоим WAN портам. Из других сетей по WAN1 вижу, по второму connection timeout

werter · Nov 2, 2016, 2:47 PM

Совет. Посмотрите в сторону HAProxy.
Думаю, это то, что вам надо.

werter · Nov 2, 2016, 2:48 PM

@tazman_555:

Изнутри проверяю вижу веб-сервер по обоим WAN портам. Из других сетей по WAN1 вижу, по второму connection timeout

Да ? Вы nat loopback задействовали ?
Не делайте так. Проверяйте всегда извне первым делом.

tazman_555 · Nov 2, 2016, 2:51 PM

NAt loopback? где его проверить?

werter · Nov 2, 2016, 3:20 PM

NAt loopback? где его проверить?

Уверен, что вы его не включали.

Ок. Проверяйте доступность проброшенного порта всегда извне.
И попоробуйте haproxy.

tazman_555 · Nov 2, 2016, 5:01 PM

Будьте добры, направьте в нужном направлении проверить nat loopback
Почитал про haproxy, это не то, плюс к тому же как говорил уважаемый пыхтор это настраивается по-другому, но убей не пойму как, вроде все проверил, но результат ноль.
@PbIXTOP:

Проверяйте - правильно ли настроили https://forum.pfsense.org/index.php?topic=60537.msg337644#msg337644

tazman_555 · Nov 2, 2016, 5:24 PM

а как у вас настроен Port forwarding на двух WAN? если есть конечно.
подвох где-то рядом. меняю default на другой wan и картина меняется с точностью до наоборот. осталось заставить pf отвечать на тот же wan с которого пришел port forward