Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    3 WAN + Web сервер внутри сети. Не работает port forwarding

    Russian
    5
    5
    515
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      a_sand
      last edited by

      Добрый день!
      Наверняка подобный вопрос поднимался, но к сожалению - не нашел ответа. Так что прошу извинить если что…

      Есть такая конфигурация:

      3 провайдера, статика (ISP1-ISP3).
      На 3-х линках висят соотв. 3 шлюза сделанные предыдущим админом из старых FreeBSD. Туда пока сильно лезть не хочется, только по минимуму, т.к. от их работоспособности зависит слишком многое.

      С этих трех шлюзов выходят три линка с адресами 10.0.0.1, 10.0.1.1, 10.0.3.1 которые я завел на свежепоставленный pfSense в качестве WAN (WAN1, WAN2, WAN3).
      C pfSense выходит еще один физический интерфейс в сторону LAN. На нем поднято некоторое количество VLAN.
      Изнутри сети в интернет все ходят, все замечательно.
      На текущем этапе LoadmBalancing не делал, опять же чтобы не разломать то что работает, WAN2 назначен как default gateway.
      Внутри сети находится некий Web сервер. Который доступен снаружи через ISP2. Это тоже работает.

      Теперь захотелось сделать еще один Web сервер. Привязал его к ISP3. Сделал еще один VLAN для эксперимента. развернул там сервер.
      На шлюзе 3 сделал соотв. проброс портов.

      запустил tcpdump на шлюзе, на pfSense (и на интерфейсе WAN3 и на новом VLAN) и непосредственно на Web сервере.

      На pfSense сделал соотв. правило в новом VLAN - если отправитель = "мой новый сервер" и получатель - за пределами LAN то перенаправлять на GW3/WAN3

      наблюдаю следующую картину: входящий пакет появляется на шлюзе ISP3 и прокидывается на Web сервер.
      Веб сервер получает запрос и отвечает на него - пакет выходит, попадает на pfSense и .... уходит в шлюз по умолчанию.... Соотв - страница не открывается...
      экспериментировал с default gateway switching - не помогает (да вроде и не должно).
      проверил само правило в фаерволе - traceroute google.com с самого веб сервера - все отрабатывает как надо - проходит именно через GW3 а не через default gw.
      Но ответный трафик все равно прет в дефолтный шлюз.

      Подскажите куда копнуть  :o Заранее благодарен за любую подсказку.

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Доброе.
        HAProxy

        1 Reply Last reply Reply Quote 0
        • P
          PbIXTOP
          last edited by

          На сколько я помню, pfSense по умолчанию при пробросе порта он привязывается к интерфейсу.

          1 Reply Last reply Reply Quote 0
          • P
            pigbrother
            last edited by

            На 3-х линках висят соотв. 3 шлюза сделанные предыдущим админом из старых FreeBSD

            Таким образом, вы имеете двойной НАТ, IMHO.
            Если так - нужен  еще и port forward на FreeBSD, смотрящей в сторону ISP3, разве нет?

            1 Reply Last reply Reply Quote 0
            • P
              PiBa
              last edited by

              Make sure you have 'reply-to' in the '/tmp/rules.debug' file for the pass rules on each WAN. And a gateway selected on the interfaces\WAN3 edit page to make that happen. This should ensure that replies will go back to the proper ISP that the request came from. (Sorry for English response)

              1 Reply Last reply Reply Quote 0
              • First post
                Last post