80 порт не доступен от IPSec/OpenVPN клиетов
-
Добрый день.
Есть PFSense, в роли responder для IPSec клиентов zyxel/mikrotik/ еще роль OpenVPN Server.
Проблема заключается в том, что в сети PFSense имеются несколько WEB серверов, к которым в сети с PFsnse доступ WEB есть (80port), а для клиентов OpenVPN/IPSec доступа нет
Chrome [ERR_CONNECTION_TIMED_OUT]
DNS Server находиться в сети PFsense
DNS резолвиться/ping есть/
Подскажите пожалуйста, куда копать :-[
Спасибо!
-
Доброе.
Перенесите порты веб-фейса пф с 80, 443 на что-то нестандартное (10080, 11443, напр.) -
Доброе.
Перенесите порты веб-фейса пф с 80, 443 на что-то нестандартное (10080, 11443, напр.)Точно, забыл добавить, что работает HAProxy на 80м порту.
На внутреннем dns указаны локальные адреса web серверов.
Консоль pfsense работает на другом порту, не 80/443.
-
Скрин правил fw для openvpn. Поставьте (временно) в src - any
Последний скрин. В dest указано This firewall. Там точно не Wan address должен быть ? Или это особенность работы HAProxy ?
И да. Внешние впн-клиенты обращаются к веб-серверам по имени ? Пускай по ip попробуют. А также сбросьте кеш в браузерах и попробуйте IE или FF вместо хрома.
P.s. Что говорит telnet <ip адрес="" веб="" сервера="">80</ip> с проблемных впн-клиентов ?
P.p.s. Может что-то с настр. haproxy ? Попробуйте минуя его обратиться к веб-серверам. Или настр. веб-серверов (разрешение обращаться только из определенной сети)?
-
Скрин правил fw для openvpn. Поставьте (временно) в src - any
Последний скрин. В dest указано This firewall. Там точно не Wan address должен быть ? Или это особенность работы HAProxy ?
И да. Внешние впн-клиенты обращаются к веб-серверам по имени ? Пускай по ip попробуют. А также сбросьте кеш в браузерах и попробуйте IE или FF вместо хрома.
P.s. Что говорит telnet <ip адрес="" веб="" сервера="">80</ip> с проблемных впн-клиентов ?
P.p.s. Может что-то с настр. haproxy ? Попробуйте минуя его обратиться к веб-серверам. Или настр. веб-серверов (разрешение обращаться только из определенной сети)?
Сделал временное правило.
По IP доступа тоже нет, кэш сброшен, браузеры разные.
Telnet- не удалось открыть подключение.
HAProxy перенастроен на получение запросов на все IP PFSense/ До этого был настроен только WAN
На веб серверах нет ограничений по входящему трафику.Логи firewall см.скрин :)
-
Имею похожую конфигурацию. Порт WEB-gui не переносил. HTTP в локальной сети и в DMZ клиентам OpenVPN доступны.
HAProxy, правда, пока не использую.
Клиенты OpenVPN - индивидуальные пользователи? Тогда в IPSec добавьте phase 2 с Local Subnet сети туннеля OpenVPN. -
Имею похожую конфигурацию. Порт WEB-gui не переносил. HTTP в локальной сети и в DMZ клиентам OpenVPN доступны.
HAProxy, правда, пока не использую.
Клиенты OpenVPN - индивидуальные пользователи? Тогда в IPSec добавьте phase 2 с Local Subnet сети туннеля OpenVPN.Наверное вопрос не очень был понятен.
В сети pfsense находятся локальные веб серверы в сети 10.10.21.0/24У клиентов OpenVPN(10.10.31.0/24) (индивидуальных)/IPSec клиентов сетей (192.168.0.0/24, 192.168.1.0/24) прописан dns сервер в зоне (10.10.21.0/24).
Клиент резолвит имя сервера в сети 10.10.21.23(веб сервер), но доступа не получает.
Клиенты внутри сети 10.10.21.0/24 получают доступ к веб серверу. -
У 10.10.21.23 default gdteway - pfsense? На машине 10.10.21.23 включен брандмауэр?
-
У 10.10.21.23 default gdteway - pfsense? На машине 10.10.21.23 включен брандмауэр?
Да
Брэндмауэр не запущен -
Настройки веб-серверов крутите. Возможно, что там запрещен доступ всем, кто не в ЛАН.
-
Настройки веб-серверов крутите. Возможно, что там запрещен доступ всем, кто не в ЛАН.
Доступ по ssh к серверу есть, ограничений на входящий 80 порт нет.
-
telnet на 80-ый порт по ip-адресу проходит от клиентов извне?
-
telnet на 80-ый порт по ip-адресу проходит от клиентов извне?
Да
Так-же из под сети 10.10.21.0/24
Кроме IPSec/OpenVPN клиентов
-
Доброе.
Покажите route print с проблемного Win-клиента при поднятом им ВПН.И мил человек, телнет на 80-ый порт - telnet ip-адрес 80, а не как у вас на скрине.
-
Точно, забыл добавить, что работает HAProxy на 80м порту.
Не в нем ли проблема?
-
Точно, забыл добавить, что работает HAProxy на 80м порту.
Не в нем ли проблема?
HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.
Проблема только с теми web службами, которые слушаются на HAProxy в случае использовании локального DNS
-
Добрый.
Поищите по allow-recursive-routing openvpnPs. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.
-
Добрый.
Поищите по allow-recursive-routing openvpnPs. https://forum.pfsense.org/index.php?topic=146381.0 картинка Random tips - объяснение. Вроде оно.
Добавление параметра в конфигурацию OpenVPN не помогло… :(
На web сервере firewall отключен
HAProxy Pfsense отключенВ данном случае клиент IPSec Site to Site
-
Добрый.
У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.HAProxy логи ведет? Гляньте в них.
-
Добрый.
У вас на фото - IPSec. Речь по allow-recursive-routing идет об OpenVPN - на нем и тестируйте.
Далее, у вас на пред. фото порт веб-сервера - 80-ый, а вы тестируете 443.HAProxy логи ведет? Гляньте в них.
HAProxy ведет статистику по доступности Backend/так таковых логов нет
HAProxy Frontend смотрит на внешний WAN Virtual IP/OpenVPN Server на WAN интерфейсе
Лог клиента с параметром allow-recursive-routing
На WEB сервере доступен 80 как и 443 порт
-
А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
Скрины настроек haproxy покажите.Зы.
HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.
Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.
Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.
-
А без haproxy напрямую работает? От внешнего впн-клиента команда telnet <адрес сервера> 80\443 проходит ?
Скрины настроек haproxy покажите.Зы.
HAProxy слушает внешний WAN/Если добавить в Frontend LAN таже ошибка.
Стоп. А какое отношение имеют впн-клиенты к WAN-адресу пф, на к-ом у вас поднят haproxy ?
Если поднимаете haproxy на WAN - он и будет работать для клиентов извне, к-ые без всяких впн-нов обращаются к WAN-адресу пф.Или задействовать haproxy на Lan (+localhost). И тогда впн клиенты должны обращаться к веб-серверам, используя ЛАН-адрес пф.
Или попробовать объявить впн-интерфейс явно и привязать haproxy к нему. В этом случае впн клиенты должны обращаться к веб-серверам, используя лок. адрес впн-сервера пф. Если так оно вообще заработает, конечно.
Если обращаться по доменному имени, ссылается на virtual ip/который слушает /80/443 HAProxy/который балансирует web на 80/ Включает 301 редирект http>https (другой Frontend ).
По скриншоту, пробовал как lan/так и /OPT адрес OpenVPN Server
Нет :(
telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.
В локальной сети 10.10.21.0/24 все хорошо, WEB работает/80/443 порты доступны
-
Добрый.
telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.
А чего ж вы тогда от haproxy хотите? Если даже напрямую нет линка. Сперва разберитесь с этим.
Временно разрешите на впн-интерфейсах всё-всем. Шлюзом у веб-серверов должен быть лок. ip пф. Обращаться к веб-серверам по ip - с именем потом разберетесь. -
Добрый.
telnet не проходит от (IPSec/Open VPN) клиентов, которые используют локальный DNS/который ссылается на IP Lan интерфейса WEB сервера.
А чего ж вы тогда от haproxy хотите? Если даже напрямую нет линка. Сперва разберитесь с этим.
Временно разрешите на впн-интерфейсах всё-всем. Шлюзом у веб-серверов должен быть лок. ip пф. Обращаться к веб-серверам по ip - с именем потом разберетесь.От HAProxy хочу что-бы балансировал трафик до web серверов, собственно так и делает :)
Напрямую в сети 10.10.21.0/24 линк есть, 80/443 порты работают.Разрешил всё всем, шлюзом является PF
Обращаясь по IP/Имени, ERR_CONNECTION_TIMED_OUT.
В этом то и вопрос :(
-
Добрый.
HAproxy при этом на LAN+ loopback живет ? Или на ВАН\ОПТ так и остался ? Плюс на впн-сервере в Адвансед есть ли директива allow-recursive-routing ?Обращаясь по IP/Имени, ERR_CONNECTION_TIMED_OUT.
Обращаться к адресу ЛАН пф при этом.
-
В итоге разнес веб сервера на несколько vlan/пустил через haproxy по локальным адресам.
Спасибо!
