HAProxy, NAT, LAN(доступ к WAN ip)
-
Есть HAproxy(несколько тестовых ресурсов) которые корректно отображаются если заходить извне. но как только это делаешь из LAN получаешь ошибку о не возможности отрыть портал. Причем с OpenVPN все прекрасно работает(с редиректорм gateway). Сначала проверил правила NAT Reflection(Enable NAT Reflection for 1:1 NAT и NAT Reflection mode for port forwards -disabled/nat+proxy/purenat, а так же их различные комбинации). Если бы не был корректный проброс из вне портал не открывался бы.
-
SplitDNS не вариант(наверное больше как костыль).
-
@k0st1k said in HAProxy, NAT, LAN(доступ к WAN ip):
SplitDNS не вариант(наверное больше как костыль).
NAT Reflection Caveats
NAT reflection is a hack as it loops traffic through the firewall when it is not necessary
https://docs.netgate.com/pfsense/en/latest/book/nat/nat-reflection.html#nat-reflection-caveats
-
Добрый
@k0st1k
SplitDNS не вариант(наверное больше как костыль).В чем причина? 100500 сайтов хостится?
Костыль - это делать loopback. -
@werter Да как бы намечается тестирование и постоянное добавление/удаление хостов. их не так много будет в конечном итоге, но хотелось бы минимизации теловдивжений при их добавлении.
Вариант с DNS ранее использовали и хотелось бы централизации.
Чем плох loopback(понимаю что это петля и при желании можно будет вызвать падение интерфейса). -
@k0st1k я с HAProxy не работал, но вот это вы читали Services > HAProxy > Frontend > Listen аddress "...note that if you are trying to redirect connections on the LAN select the "any" option" ?
-
@rubic said in HAProxy, NAT, LAN(доступ к WAN ip):
note that if you are trying to redirect connections on the LAN select the "any" option"
тоесть для того чтобы происходил коректный редирект с LAN при обращении к WAN по dns не стоит делать привязку к интерфейсу?
а как быть если операторов WAN два? -
@k0st1k да вы попробуйте просто, я не вижу проблем (в теории)
-
@rubic собственно ничего не изменилось. попробовал из lan зайти по адресу который через HA висит на wan-address. причем принудительно зашел именно на https(на http не дает сделать запись так как почему-то занято, хотя netstat говорит об обратном). похоже всетаки придется городить еще и DNS.
-
@k0st1k
Можно в дом и через окно ходить. Но через двери как-то сподручнее.SplitDNS - ваше спасение. Только сперва заверните принудительно правилами port forw на ЛАН все ДНС-запросы клиентов на This firewall\LAN addr пф. И рисуйте себе сопоставление адрес <-> ip в unbound. Кеш браузера и ДНС на клиентах чистите для проверки.
-
@werter
смирился) и начал использовать DNS(до этого так же пользовался)
Спасибо всем не равнодушным)