Веб-сервер за pfsense и двумя провайдерами.
-
Приветствую. Имеется pfsense, 2 провайдера, адреса белые. В локальной сети есть веб-сервер nginx. Настроены проброс порта 80 и правила для фаервола.
Результат: по IP Wan1 все работает и из интернета веб-сервер доступен, а по IP WAN2 нет, connection timeout. Вопрос, на pfsense вообще возможно настроить такую схему и в какую сторону копать? Заранее спасибо за подсказки. -
Проверяйте - правильно ли настроили https://forum.pfsense.org/index.php?topic=60537.msg337644#msg337644
-
Спасибо за наводку, прочитал, но половины не понял, туго с английским. Сижу парюсь дальше. Буду благодарен, если ткнете пальцем
-
Если грубо переводить - там написано
Проверяйте чтоб на всех внешних интерфейсах были прописаны шлюзы
Убедитесь что у вас не отключен "reply-to" используемый по умолчанию. -
Настроил так:
#1 interface group не используется.
#2 reply-to not checked.
#3 reply-to not checked.
#4 в настройках интерфейсов WAN и WAN2 указал gateway провайдеров вручную.
Результат тот же, WAN2 не пробрасывает трафик на порт веб-сервера. -
кхм, а скрин с правилами NAT?
-
Скрин всех портов или только WAN2? Может сразу еще что-нибудь приложить?
-
вот никак не получается убрать галочку "Default Gateway" у любого из шлюзов в /system_gateways.php, снимаю, сохраняю, а она все там же((
-
Галка на Allow def gw switching стоит ?
-
Если вы про Default gateway switching в меню System Advanced Miscellaneous то да стоит
-
Порты для веб-фейса пф сменили с 80\443 на нестандарт ?
-
Да, сделал это с самого начала
-
А вы откуда доступность веб-серверов проверяете ? Изнутри или с др провайдера ?
-
Изнутри проверяю вижу веб-сервер по обоим WAN портам. Из других сетей по WAN1 вижу, по второму connection timeout
-
Совет. Посмотрите в сторону HAProxy.
Думаю, это то, что вам надо. -
Изнутри проверяю вижу веб-сервер по обоим WAN портам. Из других сетей по WAN1 вижу, по второму connection timeout
Да ? Вы nat loopback задействовали ?
Не делайте так. Проверяйте всегда извне первым делом. -
NAt loopback? где его проверить?
-
NAt loopback? где его проверить?
Уверен, что вы его не включали.
Ок. Проверяйте доступность проброшенного порта всегда извне.
И попоробуйте haproxy. -
Будьте добры, направьте в нужном направлении проверить nat loopback
Почитал про haproxy, это не то, плюс к тому же как говорил уважаемый пыхтор это настраивается по-другому, но убей не пойму как, вроде все проверил, но результат ноль.
@PbIXTOP:Проверяйте - правильно ли настроили https://forum.pfsense.org/index.php?topic=60537.msg337644#msg337644
-
а как у вас настроен Port forwarding на двух WAN? если есть конечно.
подвох где-то рядом. меняю default на другой wan и картина меняется с точностью до наоборот. осталось заставить pf отвечать на тот же wan с которого пришел port forward -
с эти то все ясно. вот прочие настройки. nat reflection, loopback, default gateway. и еще важный момент в том и другом пробросе портов используются одни и те же порты
-
Спасибо. я так и делаю
-
У кого-нибудь есть еще мысли что не так в настройках?
Текущий конфиг такой. Сугубо в целях без-ти удалены MAC адреса, IP адреса..png)
.png_thumb)
.png)
.png_thumb)
.png)
.png_thumb)
.png)
.png_thumb)
.png)
.png_thumb)
.png)
.png_thumb)
.png)
.png_thumb)
.png)
.png_thumb)
-
Покажите правила fw на LAN. Все.
-
Правила fw
-
А если явно указать шлюз multi_gw?
-
так тоже пробовал, опять отвечает только Wan1. он вообще всегда отвечает, а второй никак. как бы заставить отвечать на тот же WAN с которого пришел запрос
-
А про галку на Stickly connections я уже говорил ?
P.s. А может это ваши веб-серверы так сконфигурированы ? Посмотрите их логи.
-
Интересная мысль. проверил следующим образом:
1. зашел на сервер по адресу в локальной сети - увидел в логах GET запрос с адреса своег компа в локальной сети
2. зашел из внешней сети по адресу WAN1 - увидел в логах IP адрес той тачки из внешней сети
3. зашел из внешней сети по адресу WAN2 - увидел в логах IP адрес LAN интерфейса PFsense
но так точно не должно быть -
Перелопатил EN ветку форума, но так и не удалось победить :(
Отзовись люд, с похожей конфигурацией
