HAProxy, NAT, LAN(доступ к WAN ip)

k0st1k

SplitDNS не вариант(наверное больше как костыль).

rubic

@k0st1k said in HAProxy, NAT, LAN(доступ к WAN ip):

SplitDNS не вариант(наверное больше как костыль).

NAT Reflection Caveats

NAT reflection is a hack as it loops traffic through the firewall when it is not necessary

https://docs.netgate.com/pfsense/en/latest/book/nat/nat-reflection.html#nat-reflection-caveats

werter

Добрый

@k0st1k
SplitDNS не вариант(наверное больше как костыль).

В чем причина? 100500 сайтов хостится?
Костыль - это делать loopback.

k0st1k

@werter Да как бы намечается тестирование и постоянное добавление/удаление хостов. их не так много будет в конечном итоге, но хотелось бы минимизации теловдивжений при их добавлении.
Вариант с DNS ранее использовали и хотелось бы централизации.
Чем плох loopback(понимаю что это петля и при желании можно будет вызвать падение интерфейса).

rubic

@k0st1k я с HAProxy не работал, но вот это вы читали Services > HAProxy > Frontend > Listen аddress "...note that if you are trying to redirect connections on the LAN select the "any" option" ?

k0st1k

@rubic said in HAProxy, NAT, LAN(доступ к WAN ip):

note that if you are trying to redirect connections on the LAN select the "any" option"

тоесть для того чтобы происходил коректный редирект с LAN при обращении к WAN по dns не стоит делать привязку к интерфейсу?
а как быть если операторов WAN два?

rubic

@k0st1k да вы попробуйте просто, я не вижу проблем (в теории)

k0st1k

@rubic собственно ничего не изменилось. попробовал из lan зайти по адресу который через HA висит на wan-address. причем принудительно зашел именно на https(на http не дает сделать запись так как почему-то занято, хотя netstat говорит об обратном). похоже всетаки придется городить еще и DNS.

werter

@k0st1k
Можно в дом и через окно ходить. Но через двери как-то сподручнее.

SplitDNS - ваше спасение. Только сперва заверните принудительно правилами port forw на ЛАН все ДНС-запросы клиентов на This firewall\LAN addr пф. И рисуйте себе сопоставление адрес <-> ip в unbound. Кеш браузера и ДНС на клиентах чистите для проверки.

k0st1k

@werter
смирился) и начал использовать DNS(до этого так же пользовался)
Спасибо всем не равнодушным)