Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    80 порт не доступен от IPSec/OpenVPN клиетов

    Scheduled Pinned Locked Moved Russian
    26 Posts 3 Posters 3.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by

      Добрый.
      Поищите по allow-recursive-routing openvpn

      Ps. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.

      1 Reply Last reply Reply Quote 1
      • M
        mic.bummer
        last edited by

        @werter:

        Добрый.
        Поищите по allow-recursive-routing openvpn

        Ps. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.

        Добавление параметра в конфигурацию OpenVPN не помогло… :(

        На web сервере firewall отключен
        HAProxy Pfsense отключен

        В данном случае клиент IPSec Site to Site

        pf1.JPG
        pf1.JPG_thumb
        pf2.JPG
        pf2.JPG_thumb

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by

          Добрый.
          У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
          Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.

          HAProxy логи ведет? Гляньте в них.

          1 Reply Last reply Reply Quote 1
          • M
            mic.bummer
            last edited by

            @werter:

            Добрый.
            У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
            Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.

            HAProxy логи ведет? Гляньте в них.

            HAProxy ведет статистику по доступности Backend/так таковых логов нет
            HAProxy Frontend смотрит на внешний WAN Virtual IP/

            OpenVPN Server на WAN интерфейсе

            Лог клиента с параметром allow-recursive-routing

            На WEB сервере доступен 80 как и 443 порт

            pf3.JPG
            pf3.JPG_thumb
            pf4.JPG
            pf4.JPG_thumb

            1 Reply Last reply Reply Quote 0
            • werterW
              werter
              last edited by

              А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
              Скрины настроек haproxy покажите.

              Зы.

              HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

              Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
              Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.

              Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.

              Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.

              1 Reply Last reply Reply Quote 1
              • M
                mic.bummer
                last edited by

                @werter:

                А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
                Скрины настроек haproxy покажите.

                Зы.

                HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

                Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
                Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.

                Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.

                Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.

                Если обращаться по доменному имени, ссылается на virtual ip/который слушает /80/443 HAProxy/который балансирует web на 80/ Включает 301 редирект http>https (другой Frontend ).

                По скриншоту, пробовал как lan/так и /OPT адрес OpenVPN Server

                Нет :(

                telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

                В локальной сети 10.10.21.0/24 все хорошо, WEB работает/80/443 порты доступны

                pf5.jpg
                pf5.jpg_thumb
                pf6.jpg
                pf6.jpg_thumb
                pf7.jpg
                pf7.jpg_thumb
                pf8.jpg
                pf8.jpg_thumb

                1 Reply Last reply Reply Quote 0
                • werterW
                  werter
                  last edited by

                  Добрый.

                  telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

                  А чего ж вы тогда от haproxy хотите? Если даже напрямую нет линка. Сперва разберитесь с этим.
                  Временно разрешите на впн-интерфейсах всё-всем. Шлюзом у веб-серверов должен быть лок. ip пф. Обращаться к веб-серверам по ip - с именем потом разберетесь.

                  1 Reply Last reply Reply Quote 1
                  • M
                    mic.bummer
                    last edited by

                    @werter:

                    Добрый.

                    telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

                    А чего ж вы тогда от haproxy хотите? Если даже напрямую нет линка. Сперва разберитесь с этим.
                    Временно разрешите на впн-интерфейсах всё-всем. Шлюзом у веб-серверов должен быть лок. ip пф. Обращаться к веб-серверам по ip - с именем потом разберетесь.

                    От HAProxy хочу что-бы балансировал трафик до web серверов, собственно так и делает  :)
                    Напрямую в сети 10.10.21.0/24 линк есть, 80/443 порты работают.

                    Разрешил всё всем, шлюзом является PF

                    Обращаясь по IP/Имени, ERR_CONNECTION_TIMED_OUT.

                    В этом то и вопрос  :(

                    1 Reply Last reply Reply Quote 0
                    • werterW
                      werter
                      last edited by

                      Добрый.
                      HAproxy при этом на LAN+ loopback живет ? Или на ВАН\ОПТ так и остался ? Плюс на впн-сервере в Адвансед есть ли директива allow-recursive-routing ?

                      Обращаясь по IP/Имени, ERR_CONNECTION_TIMED_OUT.

                      Обращаться к адресу ЛАН пф при этом.

                      1 Reply Last reply Reply Quote 1
                      • M
                        mic.bummer
                        last edited by

                        В итоге разнес веб сервера на несколько vlan/пустил через haproxy по локальным адресам.
                        Спасибо!

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.