Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    NET::ERR_CERT_AUTHORITY_INVALID на сайты работающие по ssl в локальной сети + проброс с wan при работе pfsense в виртуальной машине Proxmox

    Scheduled Pinned Locked Moved Russian
    20 Posts 4 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • sevo44S
      sevo44 @vladimirlind
      last edited by

      @vladimirlind Из стандартных настроек я только на wan отключил два параметра "Блокировать частные сети и адреса лупбека" и "Блокировать богон (bogon) сети" так как с ними на тестовой сборке не работал проброс портов. Пробросил два порта 80 и 433 до нужной машины. Больше ничего не трогал. Сертификат показывает тот что идет при установке и показывается в менеджере сертификатов у него стоит использование для вебконфигуратора.
      Скажу чесно что в маршрутизации я не силен. Если подскажете конкретные команды и где вносить, чтобы понять где проблема, буду благодарен.

      K 1 Reply Last reply Reply Quote 0
      • K
        Konstanti @sevo44
        last edited by Konstanti

        @sevo44 А Вы уверены , что пробросили порты верно, и что в результате Вы не попадаете на сайт PFSense ( маршрутизатора) ?
        Покажите пож , правила NAT проброса портов 80 и 443 и правила на WAN интерфейсе

        1 Reply Last reply Reply Quote 0
        • V
          vladimirlind
          last edited by

          А, вы порт-форвардинг делаете до нужной машины внутри сети? Если дефолтный для https - то 443. Вебконфигуратор пфсенса тоже слушает на нем по умолчанию Вы в Systems> Advanced > Admin Access > TCP Port поставьте другой порт для гуя - например, 8443. И проверьте, сделан ли правильно port-forwarding для порта 443 и 80 yа машину внутри сети , также должны быть разрешающие правила фаервола на WAN интерфейса для портов 80 и 443 с айпи назначения внутреннего айпи машины с сайтом.

          https://docs.netgate.com/pfsense/en/latest/nat/forwarding-ports-with-pfsense.html

          sevo44S 1 Reply Last reply Reply Quote 1
          • sevo44S
            sevo44 @vladimirlind
            last edited by sevo44

            @vladimirlind Вы были правы :) Как только я сменил порт для веб конфигуратора так сразу эта ошибка пропала. Огромное спасибо.

            Теперь в локальной сети всё заработало, но вот с интернета сайты не открываются.

            Делал следующее:

            1. Система > Расширенные > Брандмауэр и NAT
              поставил в опции "Режим NAT Отражения (Reflection) для переадресации портов" параметр "Сетевая трансляция адресов + Прокси"
              и поставил галки на параметрах "Включить Отражение NAT для 1:1 NAT" и "Активирует автоматический исходящий NAT для Отражений"

            2. Межсетевой экран > Сетевая Трансляция Адресов > Проброс Порта

            1.png

            В правилах wan появились нужные правила + добавил правило чтобы делать ping

            2.png

            Правила lan выглядят так

            3.png

            При таком варианте в локальной сети сайты работают, а вот с интернета доступа нет. Пинг по доменому имени до сервера есть.

            Pfsense работает на Proxmox и параметры сетевых карт там такие

            4.png

            vmbr0 - бридж локальной сети
            vmbr1 - бридж интернета

            K 1 Reply Last reply Reply Quote 0
            • K
              Konstanti @sevo44
              last edited by Konstanti

              @sevo44 Добрый день
              Проверьте шлюз по умолчанию у 103 хоста .
              Потому что судя по картинкам пакеты от внешнего клиента проходят в сторону 0.103. А вот обратно неизвестно, с этим надо разбираться.

              Попробуйте использовать tcpdump ( он же packet capture) , к примеру , на Lan интерфейсе PF для хоста 103 , чтобы увидеть , есть ли ответы от 103 в сторону внешних клиентов

              sevo44S 1 Reply Last reply Reply Quote 0
              • sevo44S
                sevo44 @Konstanti
                last edited by sevo44

                @Konstanti вот что выдало на 443 порту у 0.103 хоста

                5.png

                Если честно я вообще не понимаю о чем говорит вывод :)

                Шлюз по умолчанию стоит такой же как у ip адрес lan

                Выход в нет с 103 хоста есть

                K 1 Reply Last reply Reply Quote 0
                • K
                  Konstanti @sevo44
                  last edited by

                  @sevo44 да, вижу ответы от сервера есть. Те маршрутизация настроена верно. Но вот дальше первоначального обмена пакетами дело не идёт. В packet capture есть возможность выгрузки pcap файла. Можете его выложить для анализа?

                  sevo44S 1 Reply Last reply Reply Quote 0
                  • sevo44S
                    sevo44 @Konstanti
                    last edited by sevo44

                    @Konstanti да конечно. делал только для tcp на 443 порт packetcapture.cap.zip
                    Заостряю внимание что с локальной сети все сайты работают и проброс для rdp тоже работает, но с интернета не работают пробросы портов
                    Я правильно понимаю что соединения проходят а вот сами данные не передаются?
                    Есть тема похожая https://forum.netgate.com/topic/142163/pfsense-2-4-4-%D0%BD%D0%B5-%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D1%8E%D1%82-%D0%BF%D1%80%D0%BE%D0%B1%D1%80%D0%BE%D1%81%D1%8B-%D0%BF%D0%BE%D1%80%D1%82%D0%BE%D0%B2 может у меня похожая проблема но исходя из темы я не могу понять что мне надо делать.

                    K 1 Reply Last reply Reply Quote 0
                    • K
                      Konstanti @sevo44
                      last edited by Konstanti

                      @sevo44
                      Что вижу из этого файла
                      Клиент посылает запрос на установление соединения (пакет tcp SYN на порту 443)
                      Сервер посылает ответ (пакет tcp SYN ACK )
                      а вот дальше ничего не происходит
                      больше пакетов от внешнего клиента нет
                      т е в идеале должно быть так
                      обмен вашего хоста 106 <-> 103
                      7d8cff70-9f61-480a-a343-dc12a33d4387-image.png

                      в вашем случае обмен с внешним клиентом происходит так
                      060891a3-be3d-4485-aca6-f69c21fc0c2f-image.png

                      sevo44S 1 Reply Last reply Reply Quote 1
                      • sevo44S
                        sevo44 @Konstanti
                        last edited by

                        This post is deleted!
                        K 1 Reply Last reply Reply Quote 0
                        • K
                          Konstanti @sevo44
                          last edited by

                          @sevo44
                          Те ,скорее всего , внешний клиент не получает ответа от сервера и пытается заново установить соединение ( логика 3-х этапного рукопожатия)
                          c0da04dc-1e74-496e-8fa1-977e42cd1387-image.png
                          и снова тот же результат

                          На данном этапе надо теперь посмотреть , уходят ли от вашего шлюза пакеты в сторону внешнего клиента (packet capture, интерфейс WAN)

                          sevo44S 1 Reply Last reply Reply Quote 0
                          • sevo44S
                            sevo44 @Konstanti
                            last edited by

                            @Konstanti
                            Если я выбираю те же параметры только WAN то в выводе пусто.

                            K 1 Reply Last reply Reply Quote 0
                            • K
                              Konstanti @sevo44
                              last edited by

                              @sevo44 на wan интерфейсе уже не будет 103 хоста
                              Попробуйте просто указать 443 порт , а поле хост оставить пустым

                              sevo44S 1 Reply Last reply Reply Quote 0
                              • sevo44S
                                sevo44 @Konstanti
                                last edited by sevo44

                                @Konstanti packetcapture (1).cap.zip а с какой программы такие скрины?
                                делал запрос с 46.42.16.142 но такого нет в выводе...

                                K 1 Reply Last reply Reply Quote 0
                                • K
                                  Konstanti @sevo44
                                  last edited by

                                  @sevo44 wireshark
                                  06426b78-746e-4f4a-b5b3-6adead34ab42-image.png

                                  sevo44S 2 Replies Last reply Reply Quote 1
                                  • sevo44S
                                    sevo44 @Konstanti
                                    last edited by sevo44

                                    @Konstanti программу скачал и открыл там но не понимаю что сие значит?6.png

                                    1 Reply Last reply Reply Quote 0
                                    • sevo44S
                                      sevo44 @Konstanti
                                      last edited by

                                      @Konstanti огромное спасибо!!!! мы с вами победили ! :) день победы как никак на носу.

                                      Решение такое:
                                      При использовании Pfsense на виртуальной машине в системе Proxmox для проброса портов с wan необходимо пройти по меню "Система > Расширенные > Сети" поставить галочку в параметре "Выгрузка аппаратной контрольной суммы" 55.png

                                      Проброс заработал! Помогла, так же этот пост https://forum.netgate.com/topic/114809/tcp-spurious-retransmission/5

                                      P 1 Reply Last reply Reply Quote 0
                                      • P
                                        pigbrother @sevo44
                                        last edited by

                                        @sevo44 said in NET::ERR_CERT_AUTHORITY_INVALID на сайты работающие по ssl в локальной сети + проброс с wan при работе pfsense в виртуальной машине Proxmox:

                                        мы с вами победили ! :) день победы как никак на носу.

                                        Поздравляю!

                                        @sevo44 said in NET::ERR_CERT_AUTHORITY_INVALID на сайты работающие по ssl в локальной сети + проброс с wan при работе pfsense в виртуальной машине Proxmox:

                                        Выгрузка аппаратной контрольной суммы

                                        Как же жутко это звучит...

                                        1 Reply Last reply Reply Quote 0
                                        • First post
                                          Last post
                                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.