3 WAN + Web сервер внутри сети. Не работает port forwarding

a_sand · Dec 17, 2017, 4:34 PM

Добрый день!
Наверняка подобный вопрос поднимался, но к сожалению - не нашел ответа. Так что прошу извинить если что…

Есть такая конфигурация:

3 провайдера, статика (ISP1-ISP3).
На 3-х линках висят соотв. 3 шлюза сделанные предыдущим админом из старых FreeBSD. Туда пока сильно лезть не хочется, только по минимуму, т.к. от их работоспособности зависит слишком многое.

С этих трех шлюзов выходят три линка с адресами 10.0.0.1, 10.0.1.1, 10.0.3.1 которые я завел на свежепоставленный pfSense в качестве WAN (WAN1, WAN2, WAN3).
C pfSense выходит еще один физический интерфейс в сторону LAN. На нем поднято некоторое количество VLAN.
Изнутри сети в интернет все ходят, все замечательно.
На текущем этапе LoadmBalancing не делал, опять же чтобы не разломать то что работает, WAN2 назначен как default gateway.
Внутри сети находится некий Web сервер. Который доступен снаружи через ISP2. Это тоже работает.

Теперь захотелось сделать еще один Web сервер. Привязал его к ISP3. Сделал еще один VLAN для эксперимента. развернул там сервер.
На шлюзе 3 сделал соотв. проброс портов.

запустил tcpdump на шлюзе, на pfSense (и на интерфейсе WAN3 и на новом VLAN) и непосредственно на Web сервере.

На pfSense сделал соотв. правило в новом VLAN - если отправитель = "мой новый сервер" и получатель - за пределами LAN то перенаправлять на GW3/WAN3

наблюдаю следующую картину: входящий пакет появляется на шлюзе ISP3 и прокидывается на Web сервер.
Веб сервер получает запрос и отвечает на него - пакет выходит, попадает на pfSense и .... уходит в шлюз по умолчанию.... Соотв - страница не открывается...
экспериментировал с default gateway switching - не помогает (да вроде и не должно).
проверил само правило в фаерволе - traceroute google.com с самого веб сервера - все отрабатывает как надо - проходит именно через GW3 а не через default gw.
Но ответный трафик все равно прет в дефолтный шлюз.

Подскажите куда копнуть :o Заранее благодарен за любую подсказку.

werter · Dec 17, 2017, 5:07 PM

Доброе.
HAProxy

PbIXTOP · Dec 18, 2017, 2:46 AM

На сколько я помню, pfSense по умолчанию при пробросе порта он привязывается к интерфейсу.

pigbrother · Dec 18, 2017, 6:43 AM

На 3-х линках висят соотв. 3 шлюза сделанные предыдущим админом из старых FreeBSD

Таким образом, вы имеете двойной НАТ, IMHO.
Если так - нужен еще и port forward на FreeBSD, смотрящей в сторону ISP3, разве нет?

PiBa · Dec 18, 2017, 1:33 PM

Make sure you have 'reply-to' in the '/tmp/rules.debug' file for the pass rules on each WAN. And a gateway selected on the interfaces\WAN3 edit page to make that happen. This should ensure that replies will go back to the proper ISP that the request came from. (Sorry for English response)