80 порт не доступен от IPSec/OpenVPN клиетов

werter

Скрин правил fw для openvpn. Поставьте (временно) в src - any

Последний скрин. В dest указано This firewall. Там точно не Wan address должен быть ? Или это особенность работы HAProxy ?

И да. Внешние впн-клиенты обращаются к веб-серверам по имени ? Пускай по ip попробуют. А также сбросьте кеш в браузерах и попробуйте IE или FF вместо хрома.

P.s. Что говорит telnet <ip адрес="" веб="" сервера="">80</ip> с проблемных впн-клиентов ?

P.p.s. Может что-то с настр. haproxy ? Попробуйте минуя его обратиться к веб-серверам. Или настр. веб-серверов (разрешение обращаться только из определенной сети)?

mic.bummer

@werter:

Скрин правил fw для openvpn. Поставьте (временно) в src - any

Последний скрин. В dest указано This firewall. Там точно не Wan address должен быть ? Или это особенность работы HAProxy ?

И да. Внешние впн-клиенты обращаются к веб-серверам по имени ? Пускай по ip попробуют. А также сбросьте кеш в браузерах и попробуйте IE или FF вместо хрома.

P.s. Что говорит telnet <ip адрес="" веб="" сервера="">80</ip> с проблемных впн-клиентов ?

P.p.s. Может что-то с настр. haproxy ? Попробуйте минуя его обратиться к веб-серверам. Или настр. веб-серверов (разрешение обращаться только из определенной сети)?

Сделал временное правило.
По IP доступа тоже нет, кэш сброшен, браузеры разные.
Telnet- не удалось открыть подключение.
HAProxy перенастроен на получение запросов на все IP PFSense/ До этого был настроен только WAN
На веб серверах нет ограничений по входящему трафику.

Логи firewall см.скрин :)

ovpn2.JPG_thumb

ovpn4.JPG_thumb

ovpn1.JPG_thumb

ovpn3.JPG_thumb

ovpn5.JPG_thumb

pigbrother

Имею похожую конфигурацию. Порт WEB-gui не переносил. HTTP в локальной сети и в DMZ клиентам OpenVPN доступны.
HAProxy, правда, пока не использую.
Клиенты OpenVPN - индивидуальные пользователи? Тогда в IPSec добавьте phase 2 с Local Subnet сети туннеля OpenVPN.

mic.bummer

@pigbrother:

Имею похожую конфигурацию. Порт WEB-gui не переносил. HTTP в локальной сети и в DMZ клиентам OpenVPN доступны.
HAProxy, правда, пока не использую.
Клиенты OpenVPN - индивидуальные пользователи? Тогда в IPSec добавьте phase 2 с Local Subnet сети туннеля OpenVPN.

Наверное вопрос не очень был понятен.
В сети pfsense находятся локальные веб серверы в сети 10.10.21.0/24

У клиентов OpenVPN(10.10.31.0/24) (индивидуальных)/IPSec клиентов сетей (192.168.0.0/24, 192.168.1.0/24) прописан dns сервер в зоне (10.10.21.0/24).
Клиент резолвит имя сервера в сети 10.10.21.23(веб сервер), но доступа не получает.
Клиенты внутри сети 10.10.21.0/24 получают доступ к веб серверу.

pigbrother

У 10.10.21.23 default gdteway - pfsense? На машине 10.10.21.23 включен брандмауэр?

mic.bummer

@pigbrother:

У 10.10.21.23 default gdteway - pfsense? На машине 10.10.21.23 включен брандмауэр?

Да
Брэндмауэр не запущен

werter

Настройки веб-серверов крутите. Возможно, что там запрещен доступ всем, кто не в ЛАН.

mic.bummer

@werter:

Настройки веб-серверов крутите. Возможно, что там запрещен доступ всем, кто не в ЛАН.

Доступ по ssh к серверу есть, ограничений на входящий 80 порт нет.

werter

telnet на 80-ый порт по ip-адресу проходит от клиентов извне?

mic.bummer

@werter:

telnet на 80-ый порт по ip-адресу проходит от клиентов извне?

Да

Так-же из под сети 10.10.21.0/24

Кроме IPSec/OpenVPN клиентов

werter

Доброе.
Покажите route print с проблемного Win-клиента при поднятом им ВПН.

И мил человек, телнет на 80-ый порт - telnet ip-адрес 80, а не как у вас на скрине.

pigbrother

Точно, забыл добавить, что работает HAProxy на 80м порту.

Не в нем ли проблема?

mic.bummer

@pigbrother:

Точно, забыл добавить, что работает HAProxy на 80м порту.

Не в нем ли проблема?

HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

Проблема только с теми web службами, которые слушаются на HAProxy в случае использовании локального DNS

werter

Добрый.
Поищите по allow-recursive-routing openvpn

Ps. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.

mic.bummer

@werter:

Добрый.
Поищите по allow-recursive-routing openvpn

Ps. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.

Добавление параметра в конфигурацию OpenVPN не помогло… :(

На web сервере firewall отключен
HAProxy Pfsense отключен

В данном случае клиент IPSec Site to Site

pf1.JPG_thumb

pf2.JPG_thumb

werter

Добрый.
У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.

HAProxy логи ведет? Гляньте в них.

mic.bummer

@werter:

Добрый.
У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.

HAProxy логи ведет? Гляньте в них.

HAProxy ведет статистику по доступности Backend/так таковых логов нет
HAProxy Frontend смотрит на внешний WAN Virtual IP/

OpenVPN Server на WAN интерфейсе

Лог клиента с параметром allow-recursive-routing

На WEB сервере доступен 80 как и 443 порт

pf3.JPG_thumb

pf4.JPG_thumb

werter

А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
Скрины настроек haproxy покажите.

Зы.

HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.

Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.

Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.

mic.bummer

@werter:

А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
Скрины настроек haproxy покажите.

Зы.

HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.

Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.

Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.

Если обращаться по доменному имени, ссылается на virtual ip/который слушает /80/443 HAProxy/который балансирует web на 80/ Включает 301 редирект http>https (другой Frontend ).

По скриншоту, пробовал как lan/так и /OPT адрес OpenVPN Server

Нет :(

telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

В локальной сети 10.10.21.0/24 все хорошо, WEB работает/80/443 порты доступны

pf5.jpg_thumb

pf6.jpg_thumb

pf7.jpg_thumb

pf8.jpg_thumb

werter

Добрый.

telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

А чего ж вы тогда от haproxy хотите? Если даже напрямую нет линка. Сперва разберитесь с этим.
Временно разрешите на впн-интерфейсах всё-всем. Шлюзом у веб-серверов должен быть лок. ip пф. Обращаться к веб-серверам по ip - с именем потом разберетесь.