Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    80 порт не доступен от IPSec/OpenVPN клиетов

    Scheduled Pinned Locked Moved Russian
    26 Posts 3 Posters 3.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by

      Доброе.
      Перенесите порты веб-фейса пф с 80, 443 на что-то нестандартное (10080, 11443, напр.)

      1 Reply Last reply Reply Quote 0
      • M
        mic.bummer
        last edited by

        @werter:

        Доброе.
        Перенесите порты веб-фейса пф с 80, 443 на что-то нестандартное (10080, 11443, напр.)

        Точно, забыл добавить, что работает HAProxy на 80м порту.

        На внутреннем dns указаны локальные адреса web серверов.

        Консоль pfsense работает на другом порту, не 80/443.

        IMG_20170628_001933.JPG
        IMG_20170628_001933.JPG_thumb

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by

          Скрин правил fw для openvpn. Поставьте (временно) в src - any

          Последний скрин. В dest указано This firewall. Там точно не Wan address должен быть ? Или это особенность работы HAProxy ?

          И да. Внешние впн-клиенты обращаются к веб-серверам по имени ? Пускай по ip попробуют. А также сбросьте кеш в браузерах и попробуйте IE или FF вместо хрома.

          P.s. Что говорит telnet <ip адрес="" веб="" сервера="">80</ip> с проблемных впн-клиентов ?

          P.p.s. Может что-то с настр. haproxy ? Попробуйте минуя его обратиться к веб-серверам. Или настр. веб-серверов (разрешение обращаться только из определенной сети)?

          1 Reply Last reply Reply Quote 1
          • M
            mic.bummer
            last edited by

            @werter:

            Скрин правил fw для openvpn. Поставьте (временно) в src - any

            Последний скрин. В dest указано This firewall. Там точно не Wan address должен быть ? Или это особенность работы HAProxy ?

            И да. Внешние впн-клиенты обращаются к веб-серверам по имени ? Пускай по ip попробуют. А также сбросьте кеш в браузерах и попробуйте IE или FF вместо хрома.

            P.s. Что говорит telnet <ip адрес="" веб="" сервера="">80</ip> с проблемных впн-клиентов ?

            P.p.s. Может что-то с настр. haproxy ? Попробуйте минуя его обратиться к веб-серверам. Или настр. веб-серверов (разрешение обращаться только из определенной сети)?

            Сделал временное правило.
            По IP доступа тоже нет, кэш сброшен, браузеры разные.
            Telnet- не удалось открыть подключение.
            HAProxy перенастроен на получение запросов на все IP PFSense/ До этого был настроен только WAN
            На веб серверах нет ограничений по входящему трафику.

            Логи firewall см.скрин :)

            ovpn2.JPG
            ovpn2.JPG_thumb
            ovpn4.JPG
            ovpn4.JPG_thumb
            ovpn1.JPG
            ovpn1.JPG_thumb
            ovpn3.JPG
            ovpn3.JPG_thumb
            ovpn5.JPG
            ovpn5.JPG_thumb

            1 Reply Last reply Reply Quote 0
            • P
              pigbrother
              last edited by

              Имею похожую конфигурацию. Порт WEB-gui не переносил. HTTP в локальной сети и в DMZ клиентам OpenVPN доступны.
              HAProxy, правда, пока не использую.
              Клиенты OpenVPN - индивидуальные пользователи? Тогда в  IPSec добавьте phase 2 с  Local Subnet сети туннеля OpenVPN.

              1 Reply Last reply Reply Quote 1
              • M
                mic.bummer
                last edited by

                @pigbrother:

                Имею похожую конфигурацию. Порт WEB-gui не переносил. HTTP в локальной сети и в DMZ клиентам OpenVPN доступны.
                HAProxy, правда, пока не использую.
                Клиенты OpenVPN - индивидуальные пользователи? Тогда в  IPSec добавьте phase 2 с  Local Subnet сети туннеля OpenVPN.

                Наверное вопрос не очень был понятен.
                В сети pfsense находятся локальные веб серверы в сети 10.10.21.0/24

                У клиентов OpenVPN(10.10.31.0/24) (индивидуальных)/IPSec клиентов сетей (192.168.0.0/24, 192.168.1.0/24) прописан dns сервер в зоне (10.10.21.0/24).
                Клиент резолвит имя сервера в сети 10.10.21.23(веб сервер), но доступа не получает.
                Клиенты внутри сети 10.10.21.0/24 получают доступ к веб серверу.

                1 Reply Last reply Reply Quote 0
                • P
                  pigbrother
                  last edited by

                  У 10.10.21.23 default gdteway - pfsense? На машине 10.10.21.23 включен брандмауэр?

                  1 Reply Last reply Reply Quote 1
                  • M
                    mic.bummer
                    last edited by

                    @pigbrother:

                    У 10.10.21.23 default gdteway - pfsense? На машине 10.10.21.23 включен брандмауэр?

                    Да
                    Брэндмауэр не запущен

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      Настройки веб-серверов крутите. Возможно, что там запрещен доступ всем, кто не в ЛАН.

                      1 Reply Last reply Reply Quote 1
                      • M
                        mic.bummer
                        last edited by

                        @werter:

                        Настройки веб-серверов крутите. Возможно, что там запрещен доступ всем, кто не в ЛАН.

                        Доступ по ssh к серверу есть, ограничений на входящий 80 порт нет.

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          telnet на 80-ый порт по ip-адресу проходит от клиентов извне?

                          1 Reply Last reply Reply Quote 1
                          • M
                            mic.bummer
                            last edited by

                            @werter:

                            telnet на 80-ый порт по ip-адресу проходит от клиентов извне?

                            Да

                            Так-же из под сети 10.10.21.0/24

                            Кроме IPSec/OpenVPN клиентов

                            1 Reply Last reply Reply Quote 0
                            • werterW
                              werter
                              last edited by

                              Доброе.
                              Покажите route print с проблемного Win-клиента при поднятом им ВПН.

                              И мил человек, телнет на 80-ый порт -  telnet ip-адрес 80, а не как у вас на скрине.

                              1 Reply Last reply Reply Quote 1
                              • P
                                pigbrother
                                last edited by

                                Точно, забыл добавить, что работает HAProxy на 80м порту.

                                Не в нем ли проблема?

                                1 Reply Last reply Reply Quote 1
                                • M
                                  mic.bummer
                                  last edited by

                                  @pigbrother:

                                  Точно, забыл добавить, что работает HAProxy на 80м порту.

                                  Не в нем ли проблема?

                                  HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

                                  Проблема только с теми web службами, которые слушаются на HAProxy в случае использовании локального DNS

                                  1 Reply Last reply Reply Quote 0
                                  • werterW
                                    werter
                                    last edited by

                                    Добрый.
                                    Поищите по allow-recursive-routing openvpn

                                    Ps. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.

                                    1 Reply Last reply Reply Quote 1
                                    • M
                                      mic.bummer
                                      last edited by

                                      @werter:

                                      Добрый.
                                      Поищите по allow-recursive-routing openvpn

                                      Ps. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.

                                      Добавление параметра в конфигурацию OpenVPN не помогло… :(

                                      На web сервере firewall отключен
                                      HAProxy Pfsense отключен

                                      В данном случае клиент IPSec Site to Site

                                      pf1.JPG
                                      pf1.JPG_thumb
                                      pf2.JPG
                                      pf2.JPG_thumb

                                      1 Reply Last reply Reply Quote 0
                                      • werterW
                                        werter
                                        last edited by

                                        Добрый.
                                        У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
                                        Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.

                                        HAProxy логи ведет? Гляньте в них.

                                        1 Reply Last reply Reply Quote 1
                                        • M
                                          mic.bummer
                                          last edited by

                                          @werter:

                                          Добрый.
                                          У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
                                          Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.

                                          HAProxy логи ведет? Гляньте в них.

                                          HAProxy ведет статистику по доступности Backend/так таковых логов нет
                                          HAProxy Frontend смотрит на внешний WAN Virtual IP/

                                          OpenVPN Server на WAN интерфейсе

                                          Лог клиента с параметром allow-recursive-routing

                                          На WEB сервере доступен 80 как и 443 порт

                                          pf3.JPG
                                          pf3.JPG_thumb
                                          pf4.JPG
                                          pf4.JPG_thumb

                                          1 Reply Last reply Reply Quote 0
                                          • werterW
                                            werter
                                            last edited by

                                            А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
                                            Скрины настроек haproxy покажите.

                                            Зы.

                                            HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

                                            Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
                                            Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.

                                            Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.

                                            Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.

                                            1 Reply Last reply Reply Quote 1
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.