Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    80 порт не доступен от IPSec/OpenVPN клиетов

    Scheduled Pinned Locked Moved Russian
    26 Posts 3 Posters 3.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      mic.bummer
      last edited by

      @pigbrother:

      У 10.10.21.23 default gdteway - pfsense? На машине 10.10.21.23 включен брандмауэр?

      Да
      Брэндмауэр не запущен

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Настройки веб-серверов крутите. Возможно, что там запрещен доступ всем, кто не в ЛАН.

        1 Reply Last reply Reply Quote 1
        • M
          mic.bummer
          last edited by

          @werter:

          Настройки веб-серверов крутите. Возможно, что там запрещен доступ всем, кто не в ЛАН.

          Доступ по ssh к серверу есть, ограничений на входящий 80 порт нет.

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            telnet на 80-ый порт по ip-адресу проходит от клиентов извне?

            1 Reply Last reply Reply Quote 1
            • M
              mic.bummer
              last edited by

              @werter:

              telnet на 80-ый порт по ip-адресу проходит от клиентов извне?

              Да

              Так-же из под сети 10.10.21.0/24

              Кроме IPSec/OpenVPN клиентов

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                Доброе.
                Покажите route print с проблемного Win-клиента при поднятом им ВПН.

                И мил человек, телнет на 80-ый порт -  telnet ip-адрес 80, а не как у вас на скрине.

                1 Reply Last reply Reply Quote 1
                • P
                  pigbrother
                  last edited by

                  Точно, забыл добавить, что работает HAProxy на 80м порту.

                  Не в нем ли проблема?

                  1 Reply Last reply Reply Quote 1
                  • M
                    mic.bummer
                    last edited by

                    @pigbrother:

                    Точно, забыл добавить, что работает HAProxy на 80м порту.

                    Не в нем ли проблема?

                    HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

                    Проблема только с теми web службами, которые слушаются на HAProxy в случае использовании локального DNS

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      Добрый.
                      Поищите по allow-recursive-routing openvpn

                      Ps. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.

                      1 Reply Last reply Reply Quote 1
                      • M
                        mic.bummer
                        last edited by

                        @werter:

                        Добрый.
                        Поищите по allow-recursive-routing openvpn

                        Ps. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.

                        Добавление параметра в конфигурацию OpenVPN не помогло… :(

                        На web сервере firewall отключен
                        HAProxy Pfsense отключен

                        В данном случае клиент IPSec Site to Site

                        pf1.JPG
                        pf1.JPG_thumb
                        pf2.JPG
                        pf2.JPG_thumb

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          Добрый.
                          У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
                          Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.

                          HAProxy логи ведет? Гляньте в них.

                          1 Reply Last reply Reply Quote 1
                          • M
                            mic.bummer
                            last edited by

                            @werter:

                            Добрый.
                            У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
                            Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.

                            HAProxy логи ведет? Гляньте в них.

                            HAProxy ведет статистику по доступности Backend/так таковых логов нет
                            HAProxy Frontend смотрит на внешний WAN Virtual IP/

                            OpenVPN Server на WAN интерфейсе

                            Лог клиента с параметром allow-recursive-routing

                            На WEB сервере доступен 80 как и 443 порт

                            pf3.JPG
                            pf3.JPG_thumb
                            pf4.JPG
                            pf4.JPG_thumb

                            1 Reply Last reply Reply Quote 0
                            • werterW
                              werter
                              last edited by

                              А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
                              Скрины настроек haproxy покажите.

                              Зы.

                              HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

                              Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
                              Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.

                              Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.

                              Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.

                              1 Reply Last reply Reply Quote 1
                              • M
                                mic.bummer
                                last edited by

                                @werter:

                                А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
                                Скрины настроек haproxy покажите.

                                Зы.

                                HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

                                Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
                                Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.

                                Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.

                                Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.

                                Если обращаться по доменному имени, ссылается на virtual ip/который слушает /80/443 HAProxy/который балансирует web на 80/ Включает 301 редирект http>https (другой Frontend ).

                                По скриншоту, пробовал как lan/так и /OPT адрес OpenVPN Server

                                Нет :(

                                telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

                                В локальной сети 10.10.21.0/24 все хорошо, WEB работает/80/443 порты доступны

                                pf5.jpg
                                pf5.jpg_thumb
                                pf6.jpg
                                pf6.jpg_thumb
                                pf7.jpg
                                pf7.jpg_thumb
                                pf8.jpg
                                pf8.jpg_thumb

                                1 Reply Last reply Reply Quote 0
                                • werterW
                                  werter
                                  last edited by

                                  Добрый.

                                  telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

                                  А чего ж вы тогда от haproxy хотите? Если даже напрямую нет линка. Сперва разберитесь с этим.
                                  Временно разрешите на впн-интерфейсах всё-всем. Шлюзом у веб-серверов должен быть лок. ip пф. Обращаться к веб-серверам по ip - с именем потом разберетесь.

                                  1 Reply Last reply Reply Quote 1
                                  • M
                                    mic.bummer
                                    last edited by

                                    @werter:

                                    Добрый.

                                    telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

                                    А чего ж вы тогда от haproxy хотите? Если даже напрямую нет линка. Сперва разберитесь с этим.
                                    Временно разрешите на впн-интерфейсах всё-всем. Шлюзом у веб-серверов должен быть лок. ip пф. Обращаться к веб-серверам по ip - с именем потом разберетесь.

                                    От HAProxy хочу что-бы балансировал трафик до web серверов, собственно так и делает  :)
                                    Напрямую в сети 10.10.21.0/24 линк есть, 80/443 порты работают.

                                    Разрешил всё всем, шлюзом является PF

                                    Обращаясь по IP/Имени, ERR_CONNECTION_TIMED_OUT.

                                    В этом то и вопрос  :(

                                    1 Reply Last reply Reply Quote 0
                                    • werterW
                                      werter
                                      last edited by

                                      Добрый.
                                      HAproxy при этом на LAN+ loopback живет ? Или на ВАН\ОПТ так и остался ? Плюс на впн-сервере в Адвансед есть ли директива allow-recursive-routing ?

                                      Обращаясь по IP/Имени, ERR_CONNECTION_TIMED_OUT.

                                      Обращаться к адресу ЛАН пф при этом.

                                      1 Reply Last reply Reply Quote 1
                                      • M
                                        mic.bummer
                                        last edited by

                                        В итоге разнес веб сервера на несколько vlan/пустил через haproxy по локальным адресам.
                                        Спасибо!

                                        1 Reply Last reply Reply Quote 0
                                        • First post
                                          Last post
                                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.