[РЕШЕНО] Проблема с одним из WAN. Помогите разо
-
Настройки файервола сейчас выложу.
И где ?
-
Была ошибка на WAN, показывал offline шлюз, дефолтный шлюз, но сменил IP адрес мониторинга и все стало нормально. Перед pfSense стоит криптографический "кирпич" он не отвечает на пинги, т.е. получается шлюз WAN интерфейса.
Если фейловер/балансир не используется то и мониторинг можно выключить.
А вот описание того куда подключен wan оставляет вопросы.
-
Простите честной люд, в тот день не смог выложить потом болел.
ВыкладываюПравила между VLAN идентичные. Блокируются запросы в соседние VLAN а остальное разрешается.
![rules L.jpg](/public/imported_attachments/1/rules L.jpg)
![rules L.jpg_thumb](/public/imported_attachments/1/rules L.jpg_thumb)
![rules A.jpg](/public/imported_attachments/1/rules A.jpg)
![rules A.jpg_thumb](/public/imported_attachments/1/rules A.jpg_thumb) -
Если фейловер/балансир не используется то и мониторинг можно выключить.
Хорошо приму к сведению.
Попутно обновил до 2.3.4
Что еще узнал:
Канал WAN это прокси с фильтрацией контента. С недавнего времени, май, июнь, стали через прокси гонять https. В результате, для того что бы работал https в браузере, необходимо на каждый комп ставить сертификат или использовать другие DNS сервера, например GOOGLE. Пробывал подставлять IP cервера YANDEX, запросы блокируется. В действие хваленое ипортозамещение. ;D
Еще в пятницу открыл для себя следующее, ftp протокол работает, саты DLINK и внутренний FTP открываются, при не работающем http и https, проверить возможноо работающее почтовые протоколы смогу только понедельник.
Может быть такое, что pfSense делает какие то запросы в сеть на 80 или 443, а "кирпич" блокирует наглухо канал!?
П.С. придется ставить три роутера, как и было раньше, до меня. Один для VLAN_A, и два других для VLAN_L, для тех кому фильтровать трафик и кому нет. :'( Или втыкать Микротик временно. На нем вроде работает.
-
Доброе.
1. При настройке балансинга\фейлвоера не используйте в кач-ве мониторинга ip шлюзов. Используйте ip общедоступных ДНС - гугла, яндекса.
2.
Канал WAN это прокси с фильтрацией контента. С недавнего времени, май, июнь, стали через прокси гонять https. В результате, для того что бы работал https в браузере, необходимо на каждый комп ставить сертификат или использовать другие DNS сервера, например GOOGLE. Пробывал подставлять IP cервера YANDEX, запросы блокируется. В действие хваленое ипортозамещение.
а. Возможно, что сертификаты самоподпиcанные и они браузеру, конечно, не нравятся. Плюс браузер "видит" mitm в случае, если сертификат пров-ра все же валидный, но зарегистрирован-то он на имя провайдера.
б. Вы можете подставлять хоть 100500 имен днс-серверов. Если у провайдера настроена блокировка ресурсов по именам, то все днс-запросы заворачиваются на его днс-сервера. И дальше на страницу о запрете доступа к ресурсу. Импортозамещение тут не причем. Теплое и мягкое путаете.
3.
П.С. придется ставить три роутера, как и было раньше, до меня. Один для VLAN_A, и два других для VLAN_L, для тех кому фильтровать трафик и кому нет. Или втыкать Микротик временно. На нем вроде работает.
Уверен, что все это может ( и даже больше) и пф. Внимательно разберитесь с архитектурой сети, правилами fw, nat etc.
Подробную схему вашей сети с адресацией мы так и не увидели.
-
1. Я писал что нет balancing и failover.
2. ДНС Яндекса Блочатся, Гугла нет, вот и насмешка по поводу импортозамещения.
Сетевая роутера (GW_C) получает следующие настройки:
IP 10.7.17.x/26
Gate 10.7.17.1
DNS 10.7.17.1В такой конфигурации требуется сертификат, если DNS заменить на 8.8.8.8 то сертификат не надо.
FTP открывается.
3. В НАТе!? Стоит Automatic outbound NAT rule generation.
Portforward пуст.4. Схему рисую.
-
ftp, smtp, imap роботают. Думаю что и остальные кроме http и https.
-
Провожу дальше исследование.
Поменял настройки местами GW_C и GW_N, толку ноль.
Временно работало потом болт.Меняю mac адрес карты GW_С работает менее минуты и опять затык.
Отключил провайдера с "кирпичем" воткнул микротик с 3G модемом, работает.
Отсюда делаю вывод что проблема с провайдером на GW_C. Что то у них настроено, что блочит сеть.
Отсюда вопрос, может кто знает.pfSense может какие то запросы делать которые не по нраву провайдеру?
-
Доброе.
Отсюда делаю вывод что проблема с провайдером на GW_C. Что то у них настроено, что блочит сеть.
Проблему с провайдером решал, надампив пакетов в DiagnosticsPacket: Capture, выбрав Level of detail повыше.
-
Проблема на стороне провайдера с контентной фильтрацией. У них там "карусель" из проксей. И в зависимости от нагрузки происходит переключение. Вот какой то из проксей режет 80 и 443. Но проблема касается не всех клиентов, а выборочно и к сажелению в это выборочно попал и я. Пока каникулы все работает.