80 порт не доступен от IPSec/OpenVPN клиетов



  • Добрый день.

    Есть PFSense, в роли responder для  IPSec клиентов zyxel/mikrotik/  еще роль OpenVPN Server.

    Проблема заключается в том, что в сети PFSense имеются несколько WEB серверов, к которым в сети с PFsnse доступ WEB есть (80port), а для клиентов OpenVPN/IPSec доступа нет

    Chrome [ERR_CONNECTION_TIMED_OUT]

    DNS Server находиться в сети PFsense

    DNS резолвиться/ping есть/

    Подскажите пожалуйста, куда копать :-[

    Спасибо!








  • Доброе.
    Перенесите порты веб-фейса пф с 80, 443 на что-то нестандартное (10080, 11443, напр.)



  • @werter:

    Доброе.
    Перенесите порты веб-фейса пф с 80, 443 на что-то нестандартное (10080, 11443, напр.)

    Точно, забыл добавить, что работает HAProxy на 80м порту.

    На внутреннем dns указаны локальные адреса web серверов.

    Консоль pfsense работает на другом порту, не 80/443.




  • Скрин правил fw для openvpn. Поставьте (временно) в src - any

    Последний скрин. В dest указано This firewall. Там точно не Wan address должен быть ? Или это особенность работы HAProxy ?

    И да. Внешние впн-клиенты обращаются к веб-серверам по имени ? Пускай по ip попробуют. А также сбросьте кеш в браузерах и попробуйте IE или FF вместо хрома.

    P.s. Что говорит telnet <ip адрес="" веб="" сервера="">80</ip> с проблемных впн-клиентов ?

    P.p.s. Может что-то с настр. haproxy ? Попробуйте минуя его обратиться к веб-серверам. Или настр. веб-серверов (разрешение обращаться только из определенной сети)?



  • @werter:

    Скрин правил fw для openvpn. Поставьте (временно) в src - any

    Последний скрин. В dest указано This firewall. Там точно не Wan address должен быть ? Или это особенность работы HAProxy ?

    И да. Внешние впн-клиенты обращаются к веб-серверам по имени ? Пускай по ip попробуют. А также сбросьте кеш в браузерах и попробуйте IE или FF вместо хрома.

    P.s. Что говорит telnet <ip адрес="" веб="" сервера="">80</ip> с проблемных впн-клиентов ?

    P.p.s. Может что-то с настр. haproxy ? Попробуйте минуя его обратиться к веб-серверам. Или настр. веб-серверов (разрешение обращаться только из определенной сети)?

    Сделал временное правило.
    По IP доступа тоже нет, кэш сброшен, браузеры разные.
    Telnet- не удалось открыть подключение.
    HAProxy перенастроен на получение запросов на все IP PFSense/ До этого был настроен только WAN
    На веб серверах нет ограничений по входящему трафику.

    Логи firewall см.скрин :)












  • Имею похожую конфигурацию. Порт WEB-gui не переносил. HTTP в локальной сети и в DMZ клиентам OpenVPN доступны.
    HAProxy, правда, пока не использую.
    Клиенты OpenVPN - индивидуальные пользователи? Тогда в  IPSec добавьте phase 2 с  Local Subnet сети туннеля OpenVPN.



  • @pigbrother:

    Имею похожую конфигурацию. Порт WEB-gui не переносил. HTTP в локальной сети и в DMZ клиентам OpenVPN доступны.
    HAProxy, правда, пока не использую.
    Клиенты OpenVPN - индивидуальные пользователи? Тогда в  IPSec добавьте phase 2 с  Local Subnet сети туннеля OpenVPN.

    Наверное вопрос не очень был понятен.
    В сети pfsense находятся локальные веб серверы в сети 10.10.21.0/24

    У клиентов OpenVPN(10.10.31.0/24) (индивидуальных)/IPSec клиентов сетей (192.168.0.0/24, 192.168.1.0/24) прописан dns сервер в зоне (10.10.21.0/24).
    Клиент резолвит имя сервера в сети 10.10.21.23(веб сервер), но доступа не получает.
    Клиенты внутри сети 10.10.21.0/24 получают доступ к веб серверу.



  • У 10.10.21.23 default gdteway - pfsense? На машине 10.10.21.23 включен брандмауэр?



  • @pigbrother:

    У 10.10.21.23 default gdteway - pfsense? На машине 10.10.21.23 включен брандмауэр?

    Да
    Брэндмауэр не запущен



  • Настройки веб-серверов крутите. Возможно, что там запрещен доступ всем, кто не в ЛАН.



  • @werter:

    Настройки веб-серверов крутите. Возможно, что там запрещен доступ всем, кто не в ЛАН.

    Доступ по ssh к серверу есть, ограничений на входящий 80 порт нет.



  • telnet на 80-ый порт по ip-адресу проходит от клиентов извне?



  • @werter:

    telnet на 80-ый порт по ip-адресу проходит от клиентов извне?

    Да

    Так-же из под сети 10.10.21.0/24

    Кроме IPSec/OpenVPN клиентов



  • Доброе.
    Покажите route print с проблемного Win-клиента при поднятом им ВПН.

    И мил человек, телнет на 80-ый порт -  telnet ip-адрес 80, а не как у вас на скрине.



  • Точно, забыл добавить, что работает HAProxy на 80м порту.

    Не в нем ли проблема?



  • @pigbrother:

    Точно, забыл добавить, что работает HAProxy на 80м порту.

    Не в нем ли проблема?

    HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

    Проблема только с теми web службами, которые слушаются на HAProxy в случае использовании локального DNS



  • Добрый.
    Поищите по allow-recursive-routing openvpn

    Ps. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.



  • @werter:

    Добрый.
    Поищите по allow-recursive-routing openvpn

    Ps. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.

    Добавление параметра в конфигурацию OpenVPN не помогло… :(

    На web сервере firewall отключен
    HAProxy Pfsense отключен

    В данном случае клиент IPSec Site to Site






  • Добрый.
    У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
    Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.

    HAProxy логи ведет? Гляньте в них.



  • @werter:

    Добрый.
    У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
    Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.

    HAProxy логи ведет? Гляньте в них.

    HAProxy ведет статистику по доступности Backend/так таковых логов нет
    HAProxy Frontend смотрит на внешний WAN Virtual IP/

    OpenVPN Server на WAN интерфейсе

    Лог клиента с параметром allow-recursive-routing

    На WEB сервере доступен 80 как и 443 порт






  • А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
    Скрины настроек haproxy покажите.

    Зы.

    HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

    Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
    Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.

    Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.

    Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.



  • @werter:

    А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
    Скрины настроек haproxy покажите.

    Зы.

    HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

    Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
    Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.

    Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.

    Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.

    Если обращаться по доменному имени, ссылается на virtual ip/который слушает /80/443 HAProxy/который балансирует web на 80/ Включает 301 редирект http>https (другой Frontend ).

    По скриншоту, пробовал как lan/так и /OPT адрес OpenVPN Server

    Нет :(

    telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

    В локальной сети 10.10.21.0/24 все хорошо, WEB работает/80/443 порты доступны










  • Добрый.

    telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

    А чего ж вы тогда от haproxy хотите? Если даже напрямую нет линка. Сперва разберитесь с этим.
    Временно разрешите на впн-интерфейсах всё-всем. Шлюзом у веб-серверов должен быть лок. ip пф. Обращаться к веб-серверам по ip - с именем потом разберетесь.



  • @werter:

    Добрый.

    telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

    А чего ж вы тогда от haproxy хотите? Если даже напрямую нет линка. Сперва разберитесь с этим.
    Временно разрешите на впн-интерфейсах всё-всем. Шлюзом у веб-серверов должен быть лок. ip пф. Обращаться к веб-серверам по ip - с именем потом разберетесь.

    От HAProxy хочу что-бы балансировал трафик до web серверов, собственно так и делает  :)
    Напрямую в сети 10.10.21.0/24 линк есть, 80/443 порты работают.

    Разрешил всё всем, шлюзом является PF

    Обращаясь по IP/Имени, ERR_CONNECTION_TIMED_OUT.

    В этом то и вопрос  :(



  • Добрый.
    HAproxy при этом на LAN+ loopback живет ? Или на ВАН\ОПТ так и остался ? Плюс на впн-сервере в Адвансед есть ли директива allow-recursive-routing ?

    Обращаясь по IP/Имени, ERR_CONNECTION_TIMED_OUT.

    Обращаться к адресу ЛАН пф при этом.



  • В итоге разнес веб сервера на несколько vlan/пустил через haproxy по локальным адресам.
    Спасибо!