80 порт не доступен от IPSec/OpenVPN клиетов
-
Добрый день.
Есть PFSense, в роли responder для IPSec клиентов zyxel/mikrotik/ еще роль OpenVPN Server.
Проблема заключается в том, что в сети PFSense имеются несколько WEB серверов, к которым в сети с PFsnse доступ WEB есть (80port), а для клиентов OpenVPN/IPSec доступа нет
Chrome [ERR_CONNECTION_TIMED_OUT]
DNS Server находиться в сети PFsense
DNS резолвиться/ping есть/
Подскажите пожалуйста, куда копать :-[
Спасибо!
-
Доброе.
Перенесите порты веб-фейса пф с 80, 443 на что-то нестандартное (10080, 11443, напр.) -
Доброе.
Перенесите порты веб-фейса пф с 80, 443 на что-то нестандартное (10080, 11443, напр.)Точно, забыл добавить, что работает HAProxy на 80м порту.
На внутреннем dns указаны локальные адреса web серверов.
Консоль pfsense работает на другом порту, не 80/443.
-
Скрин правил fw для openvpn. Поставьте (временно) в src - any
Последний скрин. В dest указано This firewall. Там точно не Wan address должен быть ? Или это особенность работы HAProxy ?
И да. Внешние впн-клиенты обращаются к веб-серверам по имени ? Пускай по ip попробуют. А также сбросьте кеш в браузерах и попробуйте IE или FF вместо хрома.
P.s. Что говорит telnet <ip адрес="" веб="" сервера="">80</ip> с проблемных впн-клиентов ?
P.p.s. Может что-то с настр. haproxy ? Попробуйте минуя его обратиться к веб-серверам. Или настр. веб-серверов (разрешение обращаться только из определенной сети)?
-
Скрин правил fw для openvpn. Поставьте (временно) в src - any
Последний скрин. В dest указано This firewall. Там точно не Wan address должен быть ? Или это особенность работы HAProxy ?
И да. Внешние впн-клиенты обращаются к веб-серверам по имени ? Пускай по ip попробуют. А также сбросьте кеш в браузерах и попробуйте IE или FF вместо хрома.
P.s. Что говорит telnet <ip адрес="" веб="" сервера="">80</ip> с проблемных впн-клиентов ?
P.p.s. Может что-то с настр. haproxy ? Попробуйте минуя его обратиться к веб-серверам. Или настр. веб-серверов (разрешение обращаться только из определенной сети)?
Сделал временное правило.
По IP доступа тоже нет, кэш сброшен, браузеры разные.
Telnet- не удалось открыть подключение.
HAProxy перенастроен на получение запросов на все IP PFSense/ До этого был настроен только WAN
На веб серверах нет ограничений по входящему трафику.Логи firewall см.скрин :)
-
Имею похожую конфигурацию. Порт WEB-gui не переносил. HTTP в локальной сети и в DMZ клиентам OpenVPN доступны.
HAProxy, правда, пока не использую.
Клиенты OpenVPN - индивидуальные пользователи? Тогда в IPSec добавьте phase 2 с Local Subnet сети туннеля OpenVPN. -
Имею похожую конфигурацию. Порт WEB-gui не переносил. HTTP в локальной сети и в DMZ клиентам OpenVPN доступны.
HAProxy, правда, пока не использую.
Клиенты OpenVPN - индивидуальные пользователи? Тогда в IPSec добавьте phase 2 с Local Subnet сети туннеля OpenVPN.Наверное вопрос не очень был понятен.
В сети pfsense находятся локальные веб серверы в сети 10.10.21.0/24У клиентов OpenVPN(10.10.31.0/24) (индивидуальных)/IPSec клиентов сетей (192.168.0.0/24, 192.168.1.0/24) прописан dns сервер в зоне (10.10.21.0/24).
Клиент резолвит имя сервера в сети 10.10.21.23(веб сервер), но доступа не получает.
Клиенты внутри сети 10.10.21.0/24 получают доступ к веб серверу. -
У 10.10.21.23 default gdteway - pfsense? На машине 10.10.21.23 включен брандмауэр?
-
У 10.10.21.23 default gdteway - pfsense? На машине 10.10.21.23 включен брандмауэр?
Да
Брэндмауэр не запущен -
Настройки веб-серверов крутите. Возможно, что там запрещен доступ всем, кто не в ЛАН.
-
Настройки веб-серверов крутите. Возможно, что там запрещен доступ всем, кто не в ЛАН.
Доступ по ssh к серверу есть, ограничений на входящий 80 порт нет.
-
telnet на 80-ый порт по ip-адресу проходит от клиентов извне?
-
telnet на 80-ый порт по ip-адресу проходит от клиентов извне?
Да
Так-же из под сети 10.10.21.0/24
Кроме IPSec/OpenVPN клиентов
-
Доброе.
Покажите route print с проблемного Win-клиента при поднятом им ВПН.И мил человек, телнет на 80-ый порт - telnet ip-адрес 80, а не как у вас на скрине.
-
Точно, забыл добавить, что работает HAProxy на 80м порту.
Не в нем ли проблема?
-
Точно, забыл добавить, что работает HAProxy на 80м порту.
Не в нем ли проблема?
HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.
Проблема только с теми web службами, которые слушаются на HAProxy в случае использовании локального DNS
-
Добрый.
Поищите по allow-recursive-routing openvpnPs. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.
-
Добрый.
Поищите по allow-recursive-routing openvpnPs. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.
Добавление параметра в конфигурацию OpenVPN не помогло… :(
На web сервере firewall отключен
HAProxy Pfsense отключенВ данном случае клиент IPSec Site to Site
-
Добрый.
У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.HAProxy логи ведет? Гляньте в них.
-
Добрый.
У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.HAProxy логи ведет? Гляньте в них.
HAProxy ведет статистику по доступности Backend/так таковых логов нет
HAProxy Frontend смотрит на внешний WAN Virtual IP/OpenVPN Server на WAN интерфейсе
Лог клиента с параметром allow-recursive-routing
На WEB сервере доступен 80 как и 443 порт