Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    80 порт не доступен от IPSec/OpenVPN клиетов

    Scheduled Pinned Locked Moved Russian
    26 Posts 3 Posters 3.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      mic.bummer
      last edited by

      @pigbrother:

      Точно, забыл добавить, что работает HAProxy на 80м порту.

      Не в нем ли проблема?

      HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

      Проблема только с теми web службами, которые слушаются на HAProxy в случае использовании локального DNS

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Добрый.
        Поищите по allow-recursive-routing openvpn

        Ps. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.

        1 Reply Last reply Reply Quote 1
        • M
          mic.bummer
          last edited by

          @werter:

          Добрый.
          Поищите по allow-recursive-routing openvpn

          Ps. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.

          Добавление параметра в конфигурацию OpenVPN не помогло… :(

          На web сервере firewall отключен
          HAProxy Pfsense отключен

          В данном случае клиент IPSec Site to Site

          pf1.JPG
          pf1.JPG_thumb
          pf2.JPG
          pf2.JPG_thumb

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Добрый.
            У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
            Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.

            HAProxy логи ведет? Гляньте в них.

            1 Reply Last reply Reply Quote 1
            • M
              mic.bummer
              last edited by

              @werter:

              Добрый.
              У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
              Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.

              HAProxy логи ведет? Гляньте в них.

              HAProxy ведет статистику по доступности Backend/так таковых логов нет
              HAProxy Frontend смотрит на внешний WAN Virtual IP/

              OpenVPN Server на WAN интерфейсе

              Лог клиента с параметром allow-recursive-routing

              На WEB сервере доступен 80 как и 443 порт

              pf3.JPG
              pf3.JPG_thumb
              pf4.JPG
              pf4.JPG_thumb

              1 Reply Last reply Reply Quote 0
              • werterW
                werter
                last edited by

                А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
                Скрины настроек haproxy покажите.

                Зы.

                HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

                Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
                Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.

                Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.

                Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.

                1 Reply Last reply Reply Quote 1
                • M
                  mic.bummer
                  last edited by

                  @werter:

                  А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
                  Скрины настроек haproxy покажите.

                  Зы.

                  HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

                  Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
                  Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.

                  Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.

                  Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.

                  Если обращаться по доменному имени, ссылается на virtual ip/который слушает /80/443 HAProxy/который балансирует web на 80/ Включает 301 редирект http>https (другой Frontend ).

                  По скриншоту, пробовал как lan/так и /OPT адрес OpenVPN Server

                  Нет :(

                  telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

                  В локальной сети 10.10.21.0/24 все хорошо, WEB работает/80/443 порты доступны

                  pf5.jpg
                  pf5.jpg_thumb
                  pf6.jpg
                  pf6.jpg_thumb
                  pf7.jpg
                  pf7.jpg_thumb
                  pf8.jpg
                  pf8.jpg_thumb

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    Добрый.

                    telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

                    А чего ж вы тогда от haproxy хотите? Если даже напрямую нет линка. Сперва разберитесь с этим.
                    Временно разрешите на впн-интерфейсах всё-всем. Шлюзом у веб-серверов должен быть лок. ip пф. Обращаться к веб-серверам по ip - с именем потом разберетесь.

                    1 Reply Last reply Reply Quote 1
                    • M
                      mic.bummer
                      last edited by

                      @werter:

                      Добрый.

                      telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

                      А чего ж вы тогда от haproxy хотите? Если даже напрямую нет линка. Сперва разберитесь с этим.
                      Временно разрешите на впн-интерфейсах всё-всем. Шлюзом у веб-серверов должен быть лок. ip пф. Обращаться к веб-серверам по ip - с именем потом разберетесь.

                      От HAProxy хочу что-бы балансировал трафик до web серверов, собственно так и делает  :)
                      Напрямую в сети 10.10.21.0/24 линк есть, 80/443 порты работают.

                      Разрешил всё всем, шлюзом является PF

                      Обращаясь по IP/Имени, ERR_CONNECTION_TIMED_OUT.

                      В этом то и вопрос  :(

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        Добрый.
                        HAproxy при этом на LAN+ loopback живет ? Или на ВАН\ОПТ так и остался ? Плюс на впн-сервере в Адвансед есть ли директива allow-recursive-routing ?

                        Обращаясь по IP/Имени, ERR_CONNECTION_TIMED_OUT.

                        Обращаться к адресу ЛАН пф при этом.

                        1 Reply Last reply Reply Quote 1
                        • M
                          mic.bummer
                          last edited by

                          В итоге разнес веб сервера на несколько vlan/пустил через haproxy по локальным адресам.
                          Спасибо!

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.