Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [РЕШЕНО] Проблема с одним из WAN. Помогите разо

    Scheduled Pinned Locked Moved Russian
    13 Posts 3 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by

      Настройки файервола сейчас выложу.

      И где ?

      1 Reply Last reply Reply Quote 0
      • S
        Scodezan
        last edited by

        @ToXaNSK:

        Была ошибка на WAN, показывал offline шлюз, дефолтный шлюз, но сменил IP адрес мониторинга и все стало нормально. Перед pfSense стоит криптографический "кирпич" он  не отвечает на пинги, т.е. получается шлюз WAN интерфейса.

        Если фейловер/балансир не используется то и мониторинг можно выключить.

        А вот описание того куда подключен wan оставляет вопросы.

        1 Reply Last reply Reply Quote 0
        • T
          ToXaNSK
          last edited by

          Простите честной люд, в тот день не смог выложить потом болел.
          Выкладываю

          Правила между VLAN идентичные. Блокируются запросы в соседние VLAN а остальное разрешается.

          gateways.jpg_thumb
          gateways.jpg
          inteface.jpg
          inteface.jpg_thumb
          ![rules L.jpg](/public/imported_attachments/1/rules L.jpg)
          ![rules L.jpg_thumb](/public/imported_attachments/1/rules L.jpg_thumb)
          ![rules A.jpg](/public/imported_attachments/1/rules A.jpg)
          ![rules A.jpg_thumb](/public/imported_attachments/1/rules A.jpg_thumb)

          Say what you mean, mean what you say. (Interstate 60)

          1 Reply Last reply Reply Quote 0
          • T
            ToXaNSK
            last edited by

            @Scodezan:

            Если фейловер/балансир не используется то и мониторинг можно выключить.

            Хорошо приму к сведению.

            Попутно обновил до 2.3.4

            Что еще узнал:

            Канал WAN это прокси с фильтрацией контента. С недавнего времени, май, июнь, стали через прокси гонять https. В результате, для того что бы работал https в браузере, необходимо на каждый комп ставить сертификат или использовать другие DNS сервера, например GOOGLE. Пробывал подставлять IP cервера YANDEX, запросы блокируется. В действие хваленое ипортозамещение.  ;D

            Еще в пятницу открыл для себя следующее, ftp протокол работает, саты DLINK и внутренний FTP открываются, при не работающем http и https, проверить возможноо работающее почтовые протоколы смогу только понедельник.

            Может быть такое, что pfSense делает какие то запросы в сеть на 80 или 443, а "кирпич" блокирует наглухо канал!?

            П.С. придется ставить три роутера, как и было раньше, до меня. Один для VLAN_A, и два других для VLAN_L, для тех кому фильтровать трафик и кому нет. :'( Или втыкать Микротик временно. На нем вроде работает.

            Say what you mean, mean what you say. (Interstate 60)

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              Доброе.

              1. При настройке балансинга\фейлвоера не используйте в кач-ве мониторинга ip шлюзов. Используйте ip общедоступных ДНС - гугла, яндекса.

              2.

              Канал WAN это прокси с фильтрацией контента. С недавнего времени, май, июнь, стали через прокси гонять https. В результате, для того что бы работал https в браузере, необходимо на каждый комп ставить сертификат или использовать другие DNS сервера, например GOOGLE. Пробывал подставлять IP cервера YANDEX, запросы блокируется. В действие хваленое ипортозамещение.

              а. Возможно, что сертификаты самоподпиcанные и они браузеру, конечно, не нравятся. Плюс браузер "видит" mitm в случае, если сертификат пров-ра все же валидный, но зарегистрирован-то он на имя провайдера.

              б. Вы можете подставлять хоть 100500 имен днс-серверов. Если у провайдера настроена блокировка ресурсов по именам, то все днс-запросы заворачиваются на его днс-сервера. И дальше на страницу о запрете доступа к ресурсу. Импортозамещение тут не причем. Теплое и мягкое путаете.

              3.

              П.С. придется ставить три роутера, как и было раньше, до меня. Один для VLAN_A, и два других для VLAN_L, для тех кому фильтровать трафик и кому нет.  Или втыкать Микротик временно. На нем вроде работает.

              Уверен, что все это может ( и даже больше) и пф. Внимательно разберитесь с архитектурой сети, правилами fw, nat etc.

              Подробную схему вашей сети с адресацией мы так и не увидели.

              1 Reply Last reply Reply Quote 0
              • T
                ToXaNSK
                last edited by

                1. Я писал что нет balancing и failover.

                2. ДНС Яндекса Блочатся, Гугла нет, вот и насмешка по поводу импортозамещения.

                Сетевая роутера (GW_C) получает следующие настройки:

                IP 10.7.17.x/26
                Gate 10.7.17.1
                DNS 10.7.17.1

                В такой конфигурации требуется сертификат, если DNS заменить на 8.8.8.8 то сертификат не надо.

                FTP открывается.

                3. В НАТе!? Стоит Automatic outbound NAT rule generation.
                Portforward пуст.

                4. Схему рисую.

                nat.jpg
                nat.jpg_thumb
                scheme.jpg
                scheme.jpg_thumb

                Say what you mean, mean what you say. (Interstate 60)

                1 Reply Last reply Reply Quote 0
                • T
                  ToXaNSK
                  last edited by

                  ftp, smtp, imap роботают. Думаю что и остальные кроме http и https.

                  Say what you mean, mean what you say. (Interstate 60)

                  1 Reply Last reply Reply Quote 0
                  • T
                    ToXaNSK
                    last edited by

                    Провожу дальше исследование.

                    Поменял настройки местами GW_C и GW_N, толку ноль.
                    Временно работало потом болт.

                    Меняю mac адрес карты GW_С работает менее минуты и опять затык.

                    Отключил провайдера с "кирпичем" воткнул микротик с 3G модемом, работает.

                    Отсюда делаю вывод что проблема с провайдером на GW_C. Что то у них настроено, что блочит сеть.
                    Отсюда вопрос, может кто знает.

                    pfSense может какие то запросы делать которые не по нраву провайдеру?

                    Say what you mean, mean what you say. (Interstate 60)

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      Доброе.

                      Отсюда делаю вывод что проблема с провайдером на GW_C. Что то у них настроено, что блочит сеть.

                      Проблему с провайдером решал, надампив пакетов в DiagnosticsPacket: Capture, выбрав Level of detail повыше.

                      1 Reply Last reply Reply Quote 0
                      • T
                        ToXaNSK
                        last edited by

                        Проблема на стороне провайдера с контентной фильтрацией. У них там "карусель" из проксей. И в зависимости от нагрузки происходит переключение. Вот какой то из проксей режет 80 и 443. Но проблема касается не всех клиентов, а выборочно и к сажелению в это выборочно попал и я. Пока каникулы все работает.

                        Say what you mean, mean what you say. (Interstate 60)

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.