NET::ERR_CERT_AUTHORITY_INVALID на сайты работающие по ssl в локальной сети + проброс с wan при работе pfsense в виртуальной машине Proxmox



  • Работал обычный шлюз на базе CentOS 7. В локальной сети работали сайты на https с доступом из интернета. После введения шлюза Pfsense 2.4.4p2 показывает ошибку сертификата. Вместо сертификата сайта показывается сертификат pfsense.



  • @sevo44 said in NET::ERR_CERT_AUTHORITY_INVALID на сайты работающие по ssl в локальной сети:

    После введения шлюза Pfsense 2.4.4p2 показывает ошибку сертификата

    А что на пфсенсе настроено? Haproxy? Делаете SSL offloading? Что за сертификат показывает браузер при попытке подключения к сайтам внутри сети?



  • @vladimirlind Из стандартных настроек я только на wan отключил два параметра "Блокировать частные сети и адреса лупбека" и "Блокировать богон (bogon) сети" так как с ними на тестовой сборке не работал проброс портов. Пробросил два порта 80 и 433 до нужной машины. Больше ничего не трогал. Сертификат показывает тот что идет при установке и показывается в менеджере сертификатов у него стоит использование для вебконфигуратора.
    Скажу чесно что в маршрутизации я не силен. Если подскажете конкретные команды и где вносить, чтобы понять где проблема, буду благодарен.



  • @sevo44 А Вы уверены , что пробросили порты верно, и что в результате Вы не попадаете на сайт PFSense ( маршрутизатора) ?
    Покажите пож , правила NAT проброса портов 80 и 443 и правила на WAN интерфейсе



  • А, вы порт-форвардинг делаете до нужной машины внутри сети? Если дефолтный для https - то 443. Вебконфигуратор пфсенса тоже слушает на нем по умолчанию Вы в Systems> Advanced > Admin Access > TCP Port поставьте другой порт для гуя - например, 8443. И проверьте, сделан ли правильно port-forwarding для порта 443 и 80 yа машину внутри сети , также должны быть разрешающие правила фаервола на WAN интерфейса для портов 80 и 443 с айпи назначения внутреннего айпи машины с сайтом.

    https://docs.netgate.com/pfsense/en/latest/nat/forwarding-ports-with-pfsense.html



  • @vladimirlind Вы были правы :) Как только я сменил порт для веб конфигуратора так сразу эта ошибка пропала. Огромное спасибо.

    Теперь в локальной сети всё заработало, но вот с интернета сайты не открываются.

    Делал следующее:

    1. Система > Расширенные > Брандмауэр и NAT
      поставил в опции "Режим NAT Отражения (Reflection) для переадресации портов" параметр "Сетевая трансляция адресов + Прокси"
      и поставил галки на параметрах "Включить Отражение NAT для 1:1 NAT" и "Активирует автоматический исходящий NAT для Отражений"

    2. Межсетевой экран > Сетевая Трансляция Адресов > Проброс Порта

    1.png

    В правилах wan появились нужные правила + добавил правило чтобы делать ping

    2.png

    Правила lan выглядят так

    3.png

    При таком варианте в локальной сети сайты работают, а вот с интернета доступа нет. Пинг по доменому имени до сервера есть.

    Pfsense работает на Proxmox и параметры сетевых карт там такие

    4.png

    vmbr0 - бридж локальной сети
    vmbr1 - бридж интернета



  • @sevo44 Добрый день
    Проверьте шлюз по умолчанию у 103 хоста .
    Потому что судя по картинкам пакеты от внешнего клиента проходят в сторону 0.103. А вот обратно неизвестно, с этим надо разбираться.

    Попробуйте использовать tcpdump ( он же packet capture) , к примеру , на Lan интерфейсе PF для хоста 103 , чтобы увидеть , есть ли ответы от 103 в сторону внешних клиентов



  • @Konstanti вот что выдало на 443 порту у 0.103 хоста

    5.png

    Если честно я вообще не понимаю о чем говорит вывод :)

    Шлюз по умолчанию стоит такой же как у ip адрес lan

    Выход в нет с 103 хоста есть



  • @sevo44 да, вижу ответы от сервера есть. Те маршрутизация настроена верно. Но вот дальше первоначального обмена пакетами дело не идёт. В packet capture есть возможность выгрузки pcap файла. Можете его выложить для анализа?



  • @Konstanti да конечно. делал только для tcp на 443 порт packetcapture.cap.zip
    Заостряю внимание что с локальной сети все сайты работают и проброс для rdp тоже работает, но с интернета не работают пробросы портов
    Я правильно понимаю что соединения проходят а вот сами данные не передаются?
    Есть тема похожая https://forum.netgate.com/topic/142163/pfsense-2-4-4-не-работают-пробросы-портов может у меня похожая проблема но исходя из темы я не могу понять что мне надо делать.



  • @sevo44
    Что вижу из этого файла
    Клиент посылает запрос на установление соединения (пакет tcp SYN на порту 443)
    Сервер посылает ответ (пакет tcp SYN ACK )
    а вот дальше ничего не происходит
    больше пакетов от внешнего клиента нет
    т е в идеале должно быть так
    обмен вашего хоста 106 <-> 103
    7d8cff70-9f61-480a-a343-dc12a33d4387-image.png

    в вашем случае обмен с внешним клиентом происходит так
    060891a3-be3d-4485-aca6-f69c21fc0c2f-image.png



  • This post is deleted!


  • @sevo44
    Те ,скорее всего , внешний клиент не получает ответа от сервера и пытается заново установить соединение ( логика 3-х этапного рукопожатия)
    c0da04dc-1e74-496e-8fa1-977e42cd1387-image.png
    и снова тот же результат

    На данном этапе надо теперь посмотреть , уходят ли от вашего шлюза пакеты в сторону внешнего клиента (packet capture, интерфейс WAN)



  • @Konstanti
    Если я выбираю те же параметры только WAN то в выводе пусто.



  • @sevo44 на wan интерфейсе уже не будет 103 хоста
    Попробуйте просто указать 443 порт , а поле хост оставить пустым



  • @Konstanti packetcapture (1).cap.zip а с какой программы такие скрины?
    делал запрос с 46.42.16.142 но такого нет в выводе...



  • @sevo44 wireshark
    06426b78-746e-4f4a-b5b3-6adead34ab42-image.png



  • @Konstanti программу скачал и открыл там но не понимаю что сие значит?6.png



  • @Konstanti огромное спасибо!!!! мы с вами победили ! :) день победы как никак на носу.

    Решение такое:
    При использовании Pfsense на виртуальной машине в системе Proxmox для проброса портов с wan необходимо пройти по меню "Система > Расширенные > Сети" поставить галочку в параметре "Выгрузка аппаратной контрольной суммы" 55.png

    Проброс заработал! Помогла, так же этот пост https://forum.netgate.com/topic/114809/tcp-spurious-retransmission/5




Log in to reply