Не могу справиться с hairpin
-
Добрый день!
Друзья, помогите в ситуации разобраться - как в pfsense правильно настраивать доступ к сайту, расположенному внутри сети?
Сеть поделена на подсети, для простоты - 192.168.10.100 пускай web-сервер. Есть правило проброса 80 порта - оно работает. Дропы, пока настраиваюсь, просто перекрыл правилом "можно всем повсюду". Проверяю через openvpn (еще же одна локальная сеть по идее просто?), и, честно говоря, играю в угадайку - в системе какие-то nat reflection, какие-то автодобавления правил, выборы для каждого ната - он будет pure nat, прокси какие-то... Похоже, меня разбаловала относительная простота настройки Mikrotik'ов, но разобраться не получается даже с местными мануалами.
Есть вариант, что я просто туплю и ищу ошибку не там - открыл параллельно дефолтный сайт у апача, пихнул тупа phpinfo(); и он открывается вполне себе нормально отовсюду, да и сниффер показывает приходящие пакеты с 400 статусом (намекает на защиту у самого сайта с какого-нибудь rewrite модуля?), но это не отменяет проблесков безумия в построенных мною правилах, да и аналогичная проблема есть с https портом (настройкой доступа к самому шлюзу вместо сайта) и внутренним dns-сервером (без ната между подсетями запросы игнорирует). Сможете помочь? Если тут проще удаленно порулить, чем на путь истинный направлять - напишите в личку, договоримся). -
@arttemko А зачем Вам при OpenVpn соединении использовать проброс портов ????
При грамотно настроенной маршрутизации все будет открываться и такПроброс нужен тогда , когда кто-то стучится к Вам через WAN порт к внутренним ресурсам, и то в этом случае использование NAT и тд и тп нужно использовать при определенных конфигурациях. Пробуйте пока использовать настройки по умолчанию
Если есть проблемы , грамотно сформулируйте ТЗ , покажите схему сети
И Вам помогут -
Для Openvpn проброс портов не требуется.
как в pfsense правильно настраивать доступ к сайту, расположенному внутри сети?
Настроить SplitDNS . Не надо NAT трогать
похоже, меня разбаловала относительная простота настройки Mikrotik'ов,
Хм. Не назвал бы настройку МТ такой уж простой. Сам сижу в телего-чатике МТ. И вопросов по настройке там "будь здоров". Пф гораздо информативнее и дружественнее, как по мне. Особенно, если читать https://docs.netgate.com/pfsense/en/latest/