Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    80 порт не доступен от IPSec/OpenVPN клиетов

    Russian
    3
    26
    2026
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M
      mic.bummer last edited by

      Добрый день.

      Есть PFSense, в роли responder для  IPSec клиентов zyxel/mikrotik/  еще роль OpenVPN Server.

      Проблема заключается в том, что в сети PFSense имеются несколько WEB серверов, к которым в сети с PFsnse доступ WEB есть (80port), а для клиентов OpenVPN/IPSec доступа нет

      Chrome [ERR_CONNECTION_TIMED_OUT]

      DNS Server находиться в сети PFsense

      DNS резолвиться/ping есть/

      Подскажите пожалуйста, куда копать :-[

      Спасибо!






      1 Reply Last reply Reply Quote 0
      • werter
        werter last edited by

        Доброе.
        Перенесите порты веб-фейса пф с 80, 443 на что-то нестандартное (10080, 11443, напр.)

        1 Reply Last reply Reply Quote 0
        • M
          mic.bummer last edited by

          @werter:

          Доброе.
          Перенесите порты веб-фейса пф с 80, 443 на что-то нестандартное (10080, 11443, напр.)

          Точно, забыл добавить, что работает HAProxy на 80м порту.

          На внутреннем dns указаны локальные адреса web серверов.

          Консоль pfsense работает на другом порту, не 80/443.


          1 Reply Last reply Reply Quote 0
          • werter
            werter last edited by

            Скрин правил fw для openvpn. Поставьте (временно) в src - any

            Последний скрин. В dest указано This firewall. Там точно не Wan address должен быть ? Или это особенность работы HAProxy ?

            И да. Внешние впн-клиенты обращаются к веб-серверам по имени ? Пускай по ip попробуют. А также сбросьте кеш в браузерах и попробуйте IE или FF вместо хрома.

            P.s. Что говорит telnet <ip адрес="" веб="" сервера="">80</ip> с проблемных впн-клиентов ?

            P.p.s. Может что-то с настр. haproxy ? Попробуйте минуя его обратиться к веб-серверам. Или настр. веб-серверов (разрешение обращаться только из определенной сети)?

            1 Reply Last reply Reply Quote 1
            • M
              mic.bummer last edited by

              @werter:

              Скрин правил fw для openvpn. Поставьте (временно) в src - any

              Последний скрин. В dest указано This firewall. Там точно не Wan address должен быть ? Или это особенность работы HAProxy ?

              И да. Внешние впн-клиенты обращаются к веб-серверам по имени ? Пускай по ip попробуют. А также сбросьте кеш в браузерах и попробуйте IE или FF вместо хрома.

              P.s. Что говорит telnet <ip адрес="" веб="" сервера="">80</ip> с проблемных впн-клиентов ?

              P.p.s. Может что-то с настр. haproxy ? Попробуйте минуя его обратиться к веб-серверам. Или настр. веб-серверов (разрешение обращаться только из определенной сети)?

              Сделал временное правило.
              По IP доступа тоже нет, кэш сброшен, браузеры разные.
              Telnet- не удалось открыть подключение.
              HAProxy перенастроен на получение запросов на все IP PFSense/ До этого был настроен только WAN
              На веб серверах нет ограничений по входящему трафику.

              Логи firewall см.скрин :)










              1 Reply Last reply Reply Quote 0
              • P
                pigbrother last edited by

                Имею похожую конфигурацию. Порт WEB-gui не переносил. HTTP в локальной сети и в DMZ клиентам OpenVPN доступны.
                HAProxy, правда, пока не использую.
                Клиенты OpenVPN - индивидуальные пользователи? Тогда в  IPSec добавьте phase 2 с  Local Subnet сети туннеля OpenVPN.

                1 Reply Last reply Reply Quote 1
                • M
                  mic.bummer last edited by

                  @pigbrother:

                  Имею похожую конфигурацию. Порт WEB-gui не переносил. HTTP в локальной сети и в DMZ клиентам OpenVPN доступны.
                  HAProxy, правда, пока не использую.
                  Клиенты OpenVPN - индивидуальные пользователи? Тогда в  IPSec добавьте phase 2 с  Local Subnet сети туннеля OpenVPN.

                  Наверное вопрос не очень был понятен.
                  В сети pfsense находятся локальные веб серверы в сети 10.10.21.0/24

                  У клиентов OpenVPN(10.10.31.0/24) (индивидуальных)/IPSec клиентов сетей (192.168.0.0/24, 192.168.1.0/24) прописан dns сервер в зоне (10.10.21.0/24).
                  Клиент резолвит имя сервера в сети 10.10.21.23(веб сервер), но доступа не получает.
                  Клиенты внутри сети 10.10.21.0/24 получают доступ к веб серверу.

                  1 Reply Last reply Reply Quote 0
                  • P
                    pigbrother last edited by

                    У 10.10.21.23 default gdteway - pfsense? На машине 10.10.21.23 включен брандмауэр?

                    1 Reply Last reply Reply Quote 1
                    • M
                      mic.bummer last edited by

                      @pigbrother:

                      У 10.10.21.23 default gdteway - pfsense? На машине 10.10.21.23 включен брандмауэр?

                      Да
                      Брэндмауэр не запущен

                      1 Reply Last reply Reply Quote 0
                      • werter
                        werter last edited by

                        Настройки веб-серверов крутите. Возможно, что там запрещен доступ всем, кто не в ЛАН.

                        1 Reply Last reply Reply Quote 1
                        • M
                          mic.bummer last edited by

                          @werter:

                          Настройки веб-серверов крутите. Возможно, что там запрещен доступ всем, кто не в ЛАН.

                          Доступ по ssh к серверу есть, ограничений на входящий 80 порт нет.

                          1 Reply Last reply Reply Quote 0
                          • werter
                            werter last edited by

                            telnet на 80-ый порт по ip-адресу проходит от клиентов извне?

                            1 Reply Last reply Reply Quote 1
                            • M
                              mic.bummer last edited by

                              @werter:

                              telnet на 80-ый порт по ip-адресу проходит от клиентов извне?

                              Да

                              Так-же из под сети 10.10.21.0/24

                              Кроме IPSec/OpenVPN клиентов

                              1 Reply Last reply Reply Quote 0
                              • werter
                                werter last edited by

                                Доброе.
                                Покажите route print с проблемного Win-клиента при поднятом им ВПН.

                                И мил человек, телнет на 80-ый порт -  telnet ip-адрес 80, а не как у вас на скрине.

                                1 Reply Last reply Reply Quote 1
                                • P
                                  pigbrother last edited by

                                  Точно, забыл добавить, что работает HAProxy на 80м порту.

                                  Не в нем ли проблема?

                                  1 Reply Last reply Reply Quote 1
                                  • M
                                    mic.bummer last edited by

                                    @pigbrother:

                                    Точно, забыл добавить, что работает HAProxy на 80м порту.

                                    Не в нем ли проблема?

                                    HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

                                    Проблема только с теми web службами, которые слушаются на HAProxy в случае использовании локального DNS

                                    1 Reply Last reply Reply Quote 0
                                    • werter
                                      werter last edited by

                                      Добрый.
                                      Поищите по allow-recursive-routing openvpn

                                      Ps. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.

                                      1 Reply Last reply Reply Quote 1
                                      • M
                                        mic.bummer last edited by

                                        @werter:

                                        Добрый.
                                        Поищите по allow-recursive-routing openvpn

                                        Ps. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.

                                        Добавление параметра в конфигурацию OpenVPN не помогло… :(

                                        На web сервере firewall отключен
                                        HAProxy Pfsense отключен

                                        В данном случае клиент IPSec Site to Site




                                        1 Reply Last reply Reply Quote 0
                                        • werter
                                          werter last edited by

                                          Добрый.
                                          У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
                                          Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.

                                          HAProxy логи ведет? Гляньте в них.

                                          1 Reply Last reply Reply Quote 1
                                          • M
                                            mic.bummer last edited by

                                            @werter:

                                            Добрый.
                                            У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
                                            Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.

                                            HAProxy логи ведет? Гляньте в них.

                                            HAProxy ведет статистику по доступности Backend/так таковых логов нет
                                            HAProxy Frontend смотрит на внешний WAN Virtual IP/

                                            OpenVPN Server на WAN интерфейсе

                                            Лог клиента с параметром allow-recursive-routing

                                            На WEB сервере доступен 80 как и 443 порт




                                            1 Reply Last reply Reply Quote 0
                                            • werter
                                              werter last edited by

                                              А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
                                              Скрины настроек haproxy покажите.

                                              Зы.

                                              HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

                                              Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
                                              Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.

                                              Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.

                                              Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.

                                              1 Reply Last reply Reply Quote 1
                                              • M
                                                mic.bummer last edited by

                                                @werter:

                                                А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
                                                Скрины настроек haproxy покажите.

                                                Зы.

                                                HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

                                                Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
                                                Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.

                                                Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.

                                                Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.

                                                Если обращаться по доменному имени, ссылается на virtual ip/который слушает /80/443 HAProxy/который балансирует web на 80/ Включает 301 редирект http>https (другой Frontend ).

                                                По скриншоту, пробовал как lan/так и /OPT адрес OpenVPN Server

                                                Нет :(

                                                telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

                                                В локальной сети 10.10.21.0/24 все хорошо, WEB работает/80/443 порты доступны








                                                1 Reply Last reply Reply Quote 0
                                                • werter
                                                  werter last edited by

                                                  Добрый.

                                                  telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

                                                  А чего ж вы тогда от haproxy хотите? Если даже напрямую нет линка. Сперва разберитесь с этим.
                                                  Временно разрешите на впн-интерфейсах всё-всем. Шлюзом у веб-серверов должен быть лок. ip пф. Обращаться к веб-серверам по ip - с именем потом разберетесь.

                                                  1 Reply Last reply Reply Quote 1
                                                  • M
                                                    mic.bummer last edited by

                                                    @werter:

                                                    Добрый.

                                                    telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

                                                    А чего ж вы тогда от haproxy хотите? Если даже напрямую нет линка. Сперва разберитесь с этим.
                                                    Временно разрешите на впн-интерфейсах всё-всем. Шлюзом у веб-серверов должен быть лок. ip пф. Обращаться к веб-серверам по ip - с именем потом разберетесь.

                                                    От HAProxy хочу что-бы балансировал трафик до web серверов, собственно так и делает  :)
                                                    Напрямую в сети 10.10.21.0/24 линк есть, 80/443 порты работают.

                                                    Разрешил всё всем, шлюзом является PF

                                                    Обращаясь по IP/Имени, ERR_CONNECTION_TIMED_OUT.

                                                    В этом то и вопрос  :(

                                                    1 Reply Last reply Reply Quote 0
                                                    • werter
                                                      werter last edited by

                                                      Добрый.
                                                      HAproxy при этом на LAN+ loopback живет ? Или на ВАН\ОПТ так и остался ? Плюс на впн-сервере в Адвансед есть ли директива allow-recursive-routing ?

                                                      Обращаясь по IP/Имени, ERR_CONNECTION_TIMED_OUT.

                                                      Обращаться к адресу ЛАН пф при этом.

                                                      1 Reply Last reply Reply Quote 1
                                                      • M
                                                        mic.bummer last edited by

                                                        В итоге разнес веб сервера на несколько vlan/пустил через haproxy по локальным адресам.
                                                        Спасибо!

                                                        1 Reply Last reply Reply Quote 0
                                                        • First post
                                                          Last post