4. 80 порт не доступен от IPSec/OpenVPN клиетов

80 порт не доступен от IPSec/OpenVPN клиетов

  • M

    Добрый день.

    Есть PFSense, в роли responder для  IPSec клиентов zyxel/mikrotik/  еще роль OpenVPN Server.

    Проблема заключается в том, что в сети PFSense имеются несколько WEB серверов, к которым в сети с PFsnse доступ WEB есть (80port), а для клиентов OpenVPN/IPSec доступа нет

    Chrome [ERR_CONNECTION_TIMED_OUT]

    DNS Server находиться в сети PFsense

    DNS резолвиться/ping есть/

    Подскажите пожалуйста, куда копать :-[

    Спасибо!






    0
  • W

    Доброе.
    Перенесите порты веб-фейса пф с 80, 443 на что-то нестандартное (10080, 11443, напр.)

    0
  • M

    @werter:

    Доброе.
    Перенесите порты веб-фейса пф с 80, 443 на что-то нестандартное (10080, 11443, напр.)

    Точно, забыл добавить, что работает HAProxy на 80м порту.

    На внутреннем dns указаны локальные адреса web серверов.

    Консоль pfsense работает на другом порту, не 80/443.


    0
  • W

    Скрин правил fw для openvpn. Поставьте (временно) в src - any

    Последний скрин. В dest указано This firewall. Там точно не Wan address должен быть ? Или это особенность работы HAProxy ?

    И да. Внешние впн-клиенты обращаются к веб-серверам по имени ? Пускай по ip попробуют. А также сбросьте кеш в браузерах и попробуйте IE или FF вместо хрома.

    P.s. Что говорит telnet <ip адрес="" веб="" сервера="">80</ip> с проблемных впн-клиентов ?

    P.p.s. Может что-то с настр. haproxy ? Попробуйте минуя его обратиться к веб-серверам. Или настр. веб-серверов (разрешение обращаться только из определенной сети)?

    1
  • M

    @werter:

    Скрин правил fw для openvpn. Поставьте (временно) в src - any

    Последний скрин. В dest указано This firewall. Там точно не Wan address должен быть ? Или это особенность работы HAProxy ?

    И да. Внешние впн-клиенты обращаются к веб-серверам по имени ? Пускай по ip попробуют. А также сбросьте кеш в браузерах и попробуйте IE или FF вместо хрома.

    P.s. Что говорит telnet <ip адрес="" веб="" сервера="">80</ip> с проблемных впн-клиентов ?

    P.p.s. Может что-то с настр. haproxy ? Попробуйте минуя его обратиться к веб-серверам. Или настр. веб-серверов (разрешение обращаться только из определенной сети)?

    Сделал временное правило.
    По IP доступа тоже нет, кэш сброшен, браузеры разные.
    Telnet- не удалось открыть подключение.
    HAProxy перенастроен на получение запросов на все IP PFSense/ До этого был настроен только WAN
    На веб серверах нет ограничений по входящему трафику.

    Логи firewall см.скрин :)










    0
  • P

    Имею похожую конфигурацию. Порт WEB-gui не переносил. HTTP в локальной сети и в DMZ клиентам OpenVPN доступны.
    HAProxy, правда, пока не использую.
    Клиенты OpenVPN - индивидуальные пользователи? Тогда в  IPSec добавьте phase 2 с  Local Subnet сети туннеля OpenVPN.

    1
  • M

    @pigbrother:

    Имею похожую конфигурацию. Порт WEB-gui не переносил. HTTP в локальной сети и в DMZ клиентам OpenVPN доступны.
    HAProxy, правда, пока не использую.
    Клиенты OpenVPN - индивидуальные пользователи? Тогда в  IPSec добавьте phase 2 с  Local Subnet сети туннеля OpenVPN.

    Наверное вопрос не очень был понятен.
    В сети pfsense находятся локальные веб серверы в сети 10.10.21.0/24

    У клиентов OpenVPN(10.10.31.0/24) (индивидуальных)/IPSec клиентов сетей (192.168.0.0/24, 192.168.1.0/24) прописан dns сервер в зоне (10.10.21.0/24).
    Клиент резолвит имя сервера в сети 10.10.21.23(веб сервер), но доступа не получает.
    Клиенты внутри сети 10.10.21.0/24 получают доступ к веб серверу.

    0
  • P

    У 10.10.21.23 default gdteway - pfsense? На машине 10.10.21.23 включен брандмауэр?

    1
  • M

    @pigbrother:

    У 10.10.21.23 default gdteway - pfsense? На машине 10.10.21.23 включен брандмауэр?

    Да
    Брэндмауэр не запущен

    0
  • W

    Настройки веб-серверов крутите. Возможно, что там запрещен доступ всем, кто не в ЛАН.

    1
  • M

    @werter:

    Настройки веб-серверов крутите. Возможно, что там запрещен доступ всем, кто не в ЛАН.

    Доступ по ssh к серверу есть, ограничений на входящий 80 порт нет.

    0
  • W

    telnet на 80-ый порт по ip-адресу проходит от клиентов извне?

    1
  • M

    @werter:

    telnet на 80-ый порт по ip-адресу проходит от клиентов извне?

    Да

    Так-же из под сети 10.10.21.0/24

    Кроме IPSec/OpenVPN клиентов

    0
  • W

    Доброе.
    Покажите route print с проблемного Win-клиента при поднятом им ВПН.

    И мил человек, телнет на 80-ый порт -  telnet ip-адрес 80, а не как у вас на скрине.

    1
  • P

    Точно, забыл добавить, что работает HAProxy на 80м порту.

    Не в нем ли проблема?

    1
  • M

    @pigbrother:

    Точно, забыл добавить, что работает HAProxy на 80м порту.

    Не в нем ли проблема?

    HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

    Проблема только с теми web службами, которые слушаются на HAProxy в случае использовании локального DNS

    0
  • W

    Добрый.
    Поищите по allow-recursive-routing openvpn

    Ps. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.

    1
  • M

    @werter:

    Добрый.
    Поищите по allow-recursive-routing openvpn

    Ps. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.

    Добавление параметра в конфигурацию OpenVPN не помогло… :(

    На web сервере firewall отключен
    HAProxy Pfsense отключен

    В данном случае клиент IPSec Site to Site




    0
  • W

    Добрый.
    У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
    Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.

    HAProxy логи ведет? Гляньте в них.

    1
  • M

    @werter:

    Добрый.
    У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
    Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.

    HAProxy логи ведет? Гляньте в них.

    HAProxy ведет статистику по доступности Backend/так таковых логов нет
    HAProxy Frontend смотрит на внешний WAN Virtual IP/

    OpenVPN Server на WAN интерфейсе

    Лог клиента с параметром allow-recursive-routing

    На WEB сервере доступен 80 как и 443 порт




    0
  • W

    А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
    Скрины настроек haproxy покажите.

    Зы.

    HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

    Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
    Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.

    Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.

    Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.

    1
  • M

    @werter:

    А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
    Скрины настроек haproxy покажите.

    Зы.

    HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.

    Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
    Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.

    Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.

    Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.

    Если обращаться по доменному имени, ссылается на virtual ip/который слушает /80/443 HAProxy/который балансирует web на 80/ Включает 301 редирект http>https (другой Frontend ).

    По скриншоту, пробовал как lan/так и /OPT адрес OpenVPN Server

    Нет :(

    telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

    В локальной сети 10.10.21.0/24 все хорошо, WEB работает/80/443 порты доступны








    0
  • W

    Добрый.

    telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

    А чего ж вы тогда от haproxy хотите? Если даже напрямую нет линка. Сперва разберитесь с этим.
    Временно разрешите на впн-интерфейсах всё-всем. Шлюзом у веб-серверов должен быть лок. ip пф. Обращаться к веб-серверам по ip - с именем потом разберетесь.

    1
  • M

    @werter:

    Добрый.

    telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.

    А чего ж вы тогда от haproxy хотите? Если даже напрямую нет линка. Сперва разберитесь с этим.
    Временно разрешите на впн-интерфейсах всё-всем. Шлюзом у веб-серверов должен быть лок. ip пф. Обращаться к веб-серверам по ip - с именем потом разберетесь.

    От HAProxy хочу что-бы балансировал трафик до web серверов, собственно так и делает  :)
    Напрямую в сети 10.10.21.0/24 линк есть, 80/443 порты работают.

    Разрешил всё всем, шлюзом является PF

    Обращаясь по IP/Имени, ERR_CONNECTION_TIMED_OUT.

    В этом то и вопрос  :(

    0
  • W

    Добрый.
    HAproxy при этом на LAN+ loopback живет ? Или на ВАН\ОПТ так и остался ? Плюс на впн-сервере в Адвансед есть ли директива allow-recursive-routing ?

    Обращаясь по IP/Имени, ERR_CONNECTION_TIMED_OUT.

    Обращаться к адресу ЛАН пф при этом.

    1
  • M

    В итоге разнес веб сервера на несколько vlan/пустил через haproxy по локальным адресам.
    Спасибо!

    0
 

Products

Applications

Support

Services

News

Resources

Company

Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy