Веб-сервер за pfsense и двумя провайдерами.



  • Приветствую. Имеется pfsense, 2 провайдера, адреса белые. В локальной сети есть веб-сервер nginx. Настроены проброс порта 80 и правила для фаервола.
    Результат: по IP Wan1 все работает и из интернета веб-сервер доступен, а по IP WAN2 нет, connection timeout. Вопрос, на pfsense вообще возможно настроить такую схему и в какую сторону копать? Заранее спасибо за подсказки.



  • Проверяйте - правильно ли настроили https://forum.pfsense.org/index.php?topic=60537.msg337644#msg337644



  • Спасибо за наводку, прочитал, но половины не понял, туго с английским. Сижу парюсь дальше. Буду благодарен, если ткнете пальцем



  • Если грубо переводить - там написано
    Проверяйте чтоб на всех внешних интерфейсах были прописаны шлюзы
    Убедитесь что у вас не отключен "reply-to" используемый по умолчанию.



  • Настроил так:
    #1 interface group не используется.
    #2 reply-to not checked.
    #3 reply-to not checked.
    #4 в настройках интерфейсов WAN и WAN2 указал gateway провайдеров вручную.
    Результат тот же, WAN2 не пробрасывает трафик на порт веб-сервера.



  • кхм, а скрин с правилами NAT?



  • Скрин всех портов или только WAN2? Может сразу еще что-нибудь приложить?



  • вот никак не получается убрать галочку "Default Gateway" у любого из шлюзов в /system_gateways.php, снимаю, сохраняю, а она все там же((






  • Галка на Allow def gw switching стоит ?



  • Если вы про Default gateway switching в меню System Advanced Miscellaneous то да стоит



  • Порты для веб-фейса пф сменили с 80\443 на нестандарт ?



  • Да, сделал это с самого начала



  • А вы откуда доступность веб-серверов проверяете ? Изнутри или с др провайдера ?



  • Изнутри проверяю вижу веб-сервер по обоим WAN портам. Из других сетей по WAN1 вижу, по второму connection timeout



  • Совет. Посмотрите в сторону HAProxy.
    Думаю, это то, что вам надо.



  • @tazman_555:

    Изнутри проверяю вижу веб-сервер по обоим WAN портам. Из других сетей по WAN1 вижу, по второму connection timeout

    Да ? Вы nat loopback задействовали ?
    Не делайте так. Проверяйте всегда извне первым делом.



  • NAt loopback? где его проверить?



  • NAt loopback? где его проверить?

    Уверен, что вы его не включали.

    Ок. Проверяйте доступность проброшенного порта всегда извне.
    И попоробуйте haproxy.



  • Будьте добры, направьте в нужном направлении проверить nat loopback
    Почитал про haproxy, это не то, плюс к тому же как говорил уважаемый пыхтор это настраивается по-другому, но убей не пойму как, вроде все проверил, но результат ноль.
    @PbIXTOP:

    Проверяйте - правильно ли настроили https://forum.pfsense.org/index.php?topic=60537.msg337644#msg337644



  • У меня все работает и без NAT Loopback

    Проблема (при проверке изнутри) при двух провайдерах бывает обычно , если у Вас вкл Multiwan или в Firewall для вашего ПК установлен шлюз WAN1 , а Вы хотите проверить WAN2
    Поменяйте для вашего ПК шлюз на WAN2–-------- должно работать



  • а как у вас настроен Port forwarding на двух WAN? если есть конечно.
    подвох где-то рядом. меняю default на другой wan и картина меняется с точностью до наоборот. осталось заставить pf отвечать на тот же wan с которого пришел port forward



  • Обычно

    В портфорвадинге это выглядет так

    Rules
        Interface Protocol Source Address Source Ports Dest. Address Dest. Ports NAT IP NAT Ports Description Actions
    WAN1 TCP * * WAN1  address 8080         172.16.128.5         80 (HTTP)
    WAN1 TCP * * WAN1  address   444         172.16.128.5         444
    WAN2 TCP * * WAN2  address 3000 (HBCI) 172.16.128.12 3000 (HBCI)



  • с эти то все ясно. вот прочие настройки. nat reflection, loopback, default gateway. и еще важный момент в том и другом пробросе портов используются одни и те же порты



  • @tazman_555:

    и еще важный момент в том и другом пробросе портов используются одни и те же порты

    Это не играет роли
    Я привел только часть своих правил (есть и правила с одинаковыми портами для разных провайдеров)

    Насчет NAТ Loopback смотрим здесь

    System/Advanced/Firewall & NAT

    ==================================================================================

    А вообще Вам здесь правильно советовали проверять из вне



  • Спасибо. я так и делаю



  • У кого-нибудь есть еще мысли что не так в настройках?
    Текущий конфиг такой. Сугубо в целях без-ти удалены MAC адреса, IP адреса.

    ![1 (1).png](/public/imported_attachments/1/1 (1).png)
    ![1 (1).png_thumb](/public/imported_attachments/1/1 (1).png_thumb)
    ![1 (2).png](/public/imported_attachments/1/1 (2).png)
    ![1 (2).png_thumb](/public/imported_attachments/1/1 (2).png_thumb)
    ![1 (3).png](/public/imported_attachments/1/1 (3).png)
    ![1 (3).png_thumb](/public/imported_attachments/1/1 (3).png_thumb)
    ![1 (4).png](/public/imported_attachments/1/1 (4).png)
    ![1 (4).png_thumb](/public/imported_attachments/1/1 (4).png_thumb)
    ![1 (5).png](/public/imported_attachments/1/1 (5).png)
    ![1 (5).png_thumb](/public/imported_attachments/1/1 (5).png_thumb)
    ![1 (6).png](/public/imported_attachments/1/1 (6).png)
    ![1 (6).png_thumb](/public/imported_attachments/1/1 (6).png_thumb)
    ![1 (7).png](/public/imported_attachments/1/1 (7).png)
    ![1 (7).png_thumb](/public/imported_attachments/1/1 (7).png_thumb)
    ![1 (8).png](/public/imported_attachments/1/1 (8).png)
    ![1 (8).png_thumb](/public/imported_attachments/1/1 (8).png_thumb)



  • Покажите правила fw на LAN. Все.



  • Правила fw




  • А если явно указать шлюз  multi_gw?



  • так тоже пробовал, опять отвечает только Wan1. он вообще всегда отвечает, а второй никак. как бы заставить отвечать на тот же WAN с которого пришел запрос



  • А про галку на Stickly connections я уже говорил ?

    P.s. А может это ваши веб-серверы так сконфигурированы ? Посмотрите их логи.



  • Интересная мысль. проверил следующим образом:
    1. зашел на сервер по адресу в локальной сети - увидел в логах GET запрос с адреса своег компа в локальной сети
    2. зашел из внешней сети по адресу WAN1 - увидел в логах IP адрес той тачки из внешней сети
    3. зашел из внешней сети по адресу WAN2 - увидел в логах IP адрес LAN интерфейса PFsense
    но так точно не должно быть



  • Перелопатил EN ветку форума, но так и не удалось победить  :(
    Отзовись люд, с похожей конфигурацией


Log in to reply