Статические маршруты.
-
Угу, вижу, клиент …156 пробует достучаться на эти сервера:
192.168.1.7
192.168.1.124
192.168.0.3
192.168.0.4Они все доступны? И они видят самого клиента? Так же, нужно исключить эти подсети от обработки проксей, чтобы сертификат не подменивался
доступны в плане? пинги на них идут и обратно, трейсы проходят, порты открыты, и обратно, что исключить от обработки проксей? в настройках сквида прописать эти подсети в
Bypass Proxy for These Source IPs или Bypass Proxy for These Destination IPs или я не про то думаю? и еще мне наверное нужно на каждый IP сервера настраивать маршрут так как 192.168.1.124 это обычный клиент в их сети, он у меня к нему стучится. -
А что говорит tcpdump -i интерфейс_lan на pfsense во время запуска тех программ? Куда они пытаются обратиться?
12:50:00.150872 IP 192.168.50.156.49483 > 192.168.0.3.https: Flags [P.], seq 5282:5895, ack 2513, win 513, length 613
12:50:00.150879 IP 192.168.50.156.49483 > 192.168.0.3.https: Flags [P.], seq 5282:5895, ack 2513, win 513, length 613
12:50:00.150956 IP 192.168.50.156.49483 > 192.168.0.3.https: Flags [P.], seq 5895:6716, ack 2513, win 513, length 821
12:50:00.150963 IP 192.168.50.156.49483 > 192.168.0.3.https: Flags [P.], seq 5895:6716, ack 2513, win 513, length 821
12:50:00.151647 IP 192.168.50.156.49481 > 192.168.0.3.https: Flags [P.], seq 189:403, ack 2647, win 512, length 214
12:50:00.151653 IP 192.168.50.156.49481 > 192.168.0.3.https: Flags [P.], seq 189:403, ack 2647, win 512, length 214
12:50:00.161613 IP 192.168.50.156.49462 > pfSense.localdomain.3128: Flags [P.], seq 5070:5124, ack 24369, win 1024, length 54
12:50:00.161621 IP pfSense.localdomain.3128 > 192.168.50.156.49462: Flags [.], ack 5124, win 501, length 0
12:50:00.164740 IP 192.168.50.156.49481 > 192.168.0.3.https: Flags [P.], seq 403:664, ack 2754, win 511, length 261
12:50:00.164762 IP 192.168.50.156.49481 > 192.168.0.3.https: Flags [P.], seq 403:664, ack 2754, win 511, length 261
12:50:00.177165 IP 192.168.50.156.49481 > 192.168.0.3.https: Flags [.], seq 664:2072, ack 3143, win 517, length 1408
12:50:00.177191 IP 192.168.50.156.49481 > 192.168.0.3.https: Flags [.], seq 664:2072, ack 3143, win 517, length 1408
12:50:00.177269 IP 192.168.50.156.49481 > 192.168.0.3.https: Flags [P.], seq 2072:3389, ack 3143, win 517, length 1317
12:50:00.177276 IP 192.168.50.156.49481 > 192.168.0.3.https: Flags [P.], seq 2072:3389, ack 3143, win 517, length 1317
12:50:00.177386 IP 192.168.50.156.49481 > 192.168.0.3.https: Flags [.], seq 3389:4797, ack 3143, win 517, length 1408
12:50:00.177391 IP 192.168.50.156.49481 > 192.168.0.3.https: Flags [.], seq 3389:4797, ack 3143, win 517, length 1408
12:50:00.177394 IP 192.168.50.156.49481 > 192.168.0.3.https: Flags [P.], seq 4797:4802, ack 3143, win 517, length 5
12:50:00.177398 IP 192.168.50.156.49481 > 192.168.0.3.https: Flags [P.], seq 4797:4802, ack 3143, win 517, length 5
12:50:00.180000 IP 192.168.50.156.49483 > 192.168.0.3.https: Flags [.], ack 4619, win 517, length 0
12:50:00.180016 IP 192.168.50.156.49483 > 192.168.0.3.https: Flags [.], ack 4619, win 517, length 0
12:50:00.188426 IP 192.168.50.156.49483 > 192.168.0.3.https: Flags [.], ack 4704, win 516, length 0
12:50:00.188452 IP 192.168.50.156.49483 > 192.168.0.3.https: Flags [.], ack 4704, win 516, length 0
12:50:00.195514 ARP, Request who-has 192.168.50.18 tell 192.168.50.152, length 46
12:50:00.212102 IP 192.168.50.156.49481 > 192.168.0.3.https: Flags [.], ack 5846, win 517, length 0
12:50:00.212119 IP 192.168.50.156.49481 > 192.168.0.3.https: Flags [.], ack 5846, win 517, length 0
12:50:00.232219 IP pfSense.localdomain.3128 > 192.168.50.109.49493: Flags [P.], seq 940558:941980, ack 0, win 513, length 1422
12:50:00.236213 IP 192.168.50.156.49471 > 192.168.1.7.8443: Flags [P.], seq 15245:15282, ack 11493, win 64129, length 37
12:50:00.236241 IP 192.168.50.156.49471 > 192.168.1.7.8443: Flags [P.], seq 15245:15282, ack 11493, win 64129, length 37 -
в настройках сквида прописать эти подсети в Bypass Proxy for These Source IPs или Bypass Proxy for These Destination IPs или я не про то думаю?
Да. Думаю, может быть дело в подмене сертификата. Для проверки этой версии прокси можно попробовать вообще отключить.
-
в настройках сквида прописать эти подсети в Bypass Proxy for These Source IPs или Bypass Proxy for These Destination IPs или я не про то думаю?
Да. Думаю, может быть дело в подмене сертификата. Для проверки этой версии прокси можно попробовать вообще отключить.
прописал подсети, безрезультатно :'(
как вариант могу еще полностью отключить прокси, но позже.
а а какой подмене сертификата идет речь? -
в настройках сквида прописать эти подсети в Bypass Proxy for These Source IPs или Bypass Proxy for These Destination IPs или я не про то думаю?
Да. Думаю, может быть дело в подмене сертификата. Для проверки этой версии прокси можно попробовать вообще отключить.
прописал подсети, безрезультатно :'(
как вариант могу еще полностью отключить прокси, но позже.
а а какой подмене сертификата идет речь?к сожалению и полное отключение прокси не помогло, что характерно к примеру почтовый клиент цепляется к серверу, разрывается соединение, опять цепляется, т.е как бы его не совсем нет, а с разрывами, так же и с другими программами например через Citrix к 1C цепляешься, вроде бы подключается все норм, потом подключение разорвано, т.е не пишет что его совсем нет, так же с другим ПО подключение прервано.
-
Подмена сертификата - прокси использует свой КЦ, которым подписывает сертификаты удаленных узлов. Для программ скорей всего критично то, что сертификат используется подмененный (ну, по факту подписан "левым" КЦ).
По поводу проблемы - к сожалению, больше моих идей нет, не знаю что еще посоветовать кроме как попробовать перезагрузить шлюз. Ну, попробовать посмотреть настройки самого ПО, которое не может соединиться да глянуть инфраструктуру сети за КШ, может там что найдется, что мешает корректной работе.
-
Подмена сертификата - прокси использует свой КЦ, которым подписывает сертификаты удаленных узлов. Для программ скорей всего критично то, что сертификат используется подмененный (ну, по факту подписан "левым" КЦ).
По поводу проблемы - к сожалению, больше моих идей нет, не знаю что еще посоветовать кроме как попробовать перезагрузить шлюз. Ну, попробовать посмотреть настройки самого ПО, которое не может соединиться да глянуть инфраструктуру сети за КШ, может там что найдется, что мешает корректной работе.
понятно, спасибо!
-
подскажите где в релизе 2.3.2 поставить галочку Bypass firewall rules for traffic on the same interface, найти не могу, по идее она в предыдущих релизах должна была быть тут
System -> Advanced -> Firewall and NAT -
все нашел, весь затык был в этой галке, все работает доволен как слон ))) всем огромное спасибо.
-
2 Guf-Rolex-X
Неверно указаны сети![2016-08-22 12_36_51-СтатичеÑкие маршруты.jpg](/public/imported_attachments/1/2016-08-22 12_36_51-СтатичеÑкие маршруты.jpg)
![2016-08-22 12_36_51-СтатичеÑкие маршруты.jpg_thumb](/public/imported_attachments/1/2016-08-22 12_36_51-СтатичеÑкие маршруты.jpg_thumb) -
2 Guf-Rolex-X
Неверно указаны сетиу меня сейчас здесь ничего не указано, прозрачный прокси не стоит сейчас (но планирую поставить), т.е если я ставлю прозрачный прокси то тут обязательно указывать то что вы на скрине показали?
подскажите почему маска /24 на 192.168.0.0 у меня стоит /16 но вроде все работает
и вот такие маршруты
и вот такой параметр установлен
-
2 Guf-Rolex-X
подскажите почему маска /24 на 192.168.0.0 у меня стоит /16 но вроде все работает
Честно ? Отвечать даже не хочется на такие вопросы.
Вы тут наплодили тем с одним и тем же . Это уже 100500 обсуждалось. Воспользуйтесь поиском.
Устроили филиал твиттера.1. Поищите на ixbt мануал по openvpn. Там оч. хорошо описаны все нужные вам параметры.
2. В гугле -> Сети для самых маленьких. И читать, читать…
Если вы хотите на этом поприще сделать карьеру - нужно штудировать литературу.
-
2 Guf-Rolex-X
подскажите почему маска /24 на 192.168.0.0 у меня стоит /16 но вроде все работает
Честно ? Отвечать даже не хочется на такие вопросы.
Вы тут наплодили тем с одним и тем же . Это уже 100500 обсуждалось. Воспользуйтесь поиском.
Устроили филиал твиттера.1. Поищите на ixbt мануал по openvpn. Там оч. хорошо описаны все нужные вам параметры.
2. В гугле -> Сети для самых маленьких. И читать, читать…
Если вы хотите на этом поприще сделать карьеру - нужно штудировать литературу.
я не пытаюсь построить карьеру на этом как вы выразились поприще, а просто прошу помощи (я начинающий в этом деле), и если я тем наплодил значит в предыдущих темах никакого решения не нашел, а если вы всезнающий то молодец, не надо тыкать людям которые что то не знают или не понимают только потому что вы все знаете, и да я искал в гугле…и ничего полезного для себя не нашел.
-
Друзья, привет, сто лет не писал тут :)
Не стал тему новую создавать, вот какой вопрос возник:- адрес ЛАН 10,96,92,4, адрес ВАН 10,66,92,9
- пинг разрешён везде и всюду на обоих портах,
Почему из локалки не пингуется ВАН адрес, это нормально?
-
Друзья, привет, сто лет не писал тут :)
Не стал тему новую создавать, вот какой вопрос возник:- адрес ЛАН 10,96,92,4, адрес ВАН 10,66,92,9
- пинг разрешён везде и всюду на обоих портах,
Почему из локалки не пингуется ВАН адрес, это нормально?
правило на wan интерфейсе с портом 3000(HBCI) есть? у меня из локалки с этим правилом пинг на wan есть.
-
правило на wan интерфейсе с портом 3000(HBCI) есть? у меня из локалки с этим правилом пинг на wan есть.
Не было, разрешил - никакого эффекта не дало((
ПС: Сеснс последний стоит
-
правило на wan интерфейсе с портом 3000(HBCI) есть? у меня из локалки с этим правилом пинг на wan есть.
Не было, разрешил - никакого эффекта не дало((
ПС: Сеснс последний стоит
Для начала разрешить всем-все на LAN интерфейсе и снять dump
-
Доброе.
Отключите блокирование серых сетей на WAN. -
Доброе.
Отключите блокирование серых сетей на WAN.Вчера не был на работе, извиняюсь.
В том и дело, что отключено! :( -
Доброе
Скрин правил на ВАН