PfSense проблема с сертификатами
-
Добрый день всем пользователем данного форума!
Обращаюсь к Вам в надежде разрешить свою проблему.
Имеется компьютер на котором соответственно установлен Pfsense и он выполняет роль маршрутизатора, также имеются сервера, на которых крутятся докер контейнеры.
В этих докер контейнерах запущены различные сервисы, у которых есть web gui и которые их отдают по их личному доменному имени, которые также доступны с сети интернет.
Также есть докер контейнер который выполняет роль обратного прокси сервера, видит все запросы с инета и кидает их внутри других контейнеров и забирает обратно их веб страницы, автоматически им перевыпускает сертификаты (они работают все по https).
Настроен dns resolver на pfsense, но в последнее время на всех клиентских компьютеров вышли ошибки в браузере, ругается на веб-конфигуратор pfsense, хотя самоподписанный сертификат его продлен до 2023 года, все браузеры выдают ошибку NET::ERR_CERT_COMMON_NAME_INVALID, а докер контейнер (обратный прокси-сервер) перестал перевыпускать сертификаты, по логам ругается (acme: Error 400 - urn:acme:error:connection - Fetching http://***.ru/.well-known/acme-challenge/Q77z4qhCQT5ikBjUC7_n77KxqE37: Timeout during connect (likely firewall problem) )
Думаю что проблема в расширенных настройках веб конфигуратора либо в межсетевом экране, пока не могу разобраться. Кто нибудь сталкивался с данной бедой? До этого браузер нормально реагировал на сертификат web gui pfsense, что то произошло и начал на него ругаться.
Прошу помочь, у кого хотя бы какие мысли есть по данному поводу. Спасибо! -
@pirantel
Проверьте, что все домены у вас резолвятся корректно, как на клиентах, так и на самом pfSense. В GUI pfSense по IP заходите, или по доменному имени? -
Добрый.
@pirantelНа пф проброс 80 и 443 портов идет на контейнер который, выполняет роль обратного прокси сервера?
Покажите скрины правил fw и port forwrd. -
@rubic если с локального компьютера вбить доменное имя любое сервиса, то смогу зайти спокойно, но к сожалению, с сети интернет, они не доступны. В pfSense захожу по локальному ip.
-
но к сожалению, с сети интернет, они не доступны.
Вы как это проверяете? Проверяйте с ДРУГОГО провайдера (напр., с моб. интернета), а не обращаясь к внешнему имени сайта из ЛАН (петля).
-
@werter спасибо за ответ, да, совершенно верно, проверяю я его с другого провайдера, как раз таки с мобильного интернета.
-
@werter скину примерно схемотехнику сети, чтобы было более понятно
на обратном прокси-сервере по порту 5055, и 403 раздает веб-морду двух веб-сервисов, по 80 если не ошибаюсь идет перевыпуск сертификатов (точнее подтверждение владения доменом). На pfSense установлен белый внешний ip, и настроен dns resolver, и соответственно, у регистратора домена в записи также все указано, и ссылает на наш wan ip. Сервер с ip 192.168.0.210.
Проблема в том, что в последнее время обратный прокси-сервер не может перевыпустить сертификаты для веб-сервисов (alpine linux, c lego acme), в логах контейнера указывает что
И в данный момент нет доступ из "другой" сети интернет к данный веб-сервисам, и помимо всего прочего браузер ругается на сертификат веб-конфигуратора pfSense
хотя он установлен в системе, в папку доверительные.
Скрины проброса портов и правил прилагаю
-
@pirantel
Внимательно гляньте на свой последний скрин.У вас для 443 - проброс, а для 80-го - НЕ ПРОБРОС, а просто правило .
Исправляйте.
И порты вебки пф смените на отличные от 80 и 443.
-
@werter cпасибо Вам большое! Да, верно - исправил, и правило изменил, обновил его, и все заработало! Спасибо еще раз Вам большое ! :)))
-
@pirantel
Пож-та )С вас инс-ция по настройке выдачи сертификатов с пом. обратного прокси. Реально может пригодиться.
Заранее благодарен.