NET::ERR_CERT_AUTHORITY_INVALID на сайты работающие по ssl в локальной сети + проброс с wan при работе pfsense в виртуальной машине Proxmox

Konstanti · May 8, 2019, 11:24 AM

@sevo44 да, вижу ответы от сервера есть. Те маршрутизация настроена верно. Но вот дальше первоначального обмена пакетами дело не идёт. В packet capture есть возможность выгрузки pcap файла. Можете его выложить для анализа?

sevo44 · May 8, 2019, 11:49 AM

@Konstanti да конечно. делал только для tcp на 443 порт packetcapture.cap.zip
Заостряю внимание что с локальной сети все сайты работают и проброс для rdp тоже работает, но с интернета не работают пробросы портов
Я правильно понимаю что соединения проходят а вот сами данные не передаются?
Есть тема похожая https://forum.netgate.com/topic/142163/pfsense-2-4-4-%D0%BD%D0%B5-%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D1%8E%D1%82-%D0%BF%D1%80%D0%BE%D0%B1%D1%80%D0%BE%D1%81%D1%8B-%D0%BF%D0%BE%D1%80%D1%82%D0%BE%D0%B2 может у меня похожая проблема но исходя из темы я не могу понять что мне надо делать.

Konstanti · May 8, 2019, 12:02 PM

@sevo44
Что вижу из этого файла
Клиент посылает запрос на установление соединения (пакет tcp SYN на порту 443)
Сервер посылает ответ (пакет tcp SYN ACK )
а вот дальше ничего не происходит
больше пакетов от внешнего клиента нет
т е в идеале должно быть так
обмен вашего хоста 106 <-> 103

в вашем случае обмен с внешним клиентом происходит так

sevo44 · May 8, 2019, 11:58 AM

This post is deleted!

Konstanti · May 8, 2019, 12:05 PM

@sevo44
Те ,скорее всего , внешний клиент не получает ответа от сервера и пытается заново установить соединение ( логика 3-х этапного рукопожатия)

и снова тот же результат

На данном этапе надо теперь посмотреть , уходят ли от вашего шлюза пакеты в сторону внешнего клиента (packet capture, интерфейс WAN)

sevo44 · May 8, 2019, 12:15 PM

@Konstanti
Если я выбираю те же параметры только WAN то в выводе пусто.

Konstanti · May 8, 2019, 12:16 PM

@sevo44 на wan интерфейсе уже не будет 103 хоста
Попробуйте просто указать 443 порт , а поле хост оставить пустым

sevo44 · May 8, 2019, 12:21 PM

@Konstanti packetcapture (1).cap.zip а с какой программы такие скрины?
делал запрос с 46.42.16.142 но такого нет в выводе...

Konstanti · May 8, 2019, 12:21 PM

@sevo44 wireshark

sevo44 · May 8, 2019, 1:07 PM

@Konstanti программу скачал и открыл там но не понимаю что сие значит?

sevo44 · May 9, 2019, 9:38 AM

@Konstanti огромное спасибо!!!! мы с вами победили ! :) день победы как никак на носу.

Решение такое:
При использовании Pfsense на виртуальной машине в системе Proxmox для проброса портов с wan необходимо пройти по меню "Система > Расширенные > Сети" поставить галочку в параметре "Выгрузка аппаратной контрольной суммы"

Проброс заработал! Помогла, так же этот пост https://forum.netgate.com/topic/114809/tcp-spurious-retransmission/5

pigbrother · May 9, 2019, 9:38 AM

@sevo44 said in NET::ERR_CERT_AUTHORITY_INVALID на сайты работающие по ssl в локальной сети + проброс с wan при работе pfsense в виртуальной машине Proxmox:

мы с вами победили ! :) день победы как никак на носу.

Поздравляю!

@sevo44 said in NET::ERR_CERT_AUTHORITY_INVALID на сайты работающие по ssl в локальной сети + проброс с wan при работе pfsense в виртуальной машине Proxmox:

Выгрузка аппаратной контрольной суммы

Как же жутко это звучит...