Не могу справиться с hairpin



  • Добрый день!

    Друзья, помогите в ситуации разобраться - как в pfsense правильно настраивать доступ к сайту, расположенному внутри сети?
    Сеть поделена на подсети, для простоты - 192.168.10.100 пускай web-сервер. Есть правило проброса 80 порта - оно работает. Дропы, пока настраиваюсь, просто перекрыл правилом "можно всем повсюду". Проверяю через openvpn (еще же одна локальная сеть по идее просто?), и, честно говоря, играю в угадайку - в системе какие-то nat reflection, какие-то автодобавления правил, выборы для каждого ната - он будет pure nat, прокси какие-то... Похоже, меня разбаловала относительная простота настройки Mikrotik'ов, но разобраться не получается даже с местными мануалами.
    Есть вариант, что я просто туплю и ищу ошибку не там - открыл параллельно дефолтный сайт у апача, пихнул тупа phpinfo(); и он открывается вполне себе нормально отовсюду, да и сниффер показывает приходящие пакеты с 400 статусом (намекает на защиту у самого сайта с какого-нибудь rewrite модуля?), но это не отменяет проблесков безумия в построенных мною правилах, да и аналогичная проблема есть с https портом (настройкой доступа к самому шлюзу вместо сайта) и внутренним dns-сервером (без ната между подсетями запросы игнорирует). Сможете помочь? Если тут проще удаленно порулить, чем на путь истинный направлять - напишите в личку, договоримся).



  • @arttemko А зачем Вам при OpenVpn соединении использовать проброс портов ????
    При грамотно настроенной маршрутизации все будет открываться и так

    Проброс нужен тогда , когда кто-то стучится к Вам через WAN порт к внутренним ресурсам, и то в этом случае использование NAT и тд и тп нужно использовать при определенных конфигурациях. Пробуйте пока использовать настройки по умолчанию

    Если есть проблемы , грамотно сформулируйте ТЗ , покажите схему сети
    И Вам помогут



  • @arttemko

    Для Openvpn проброс портов не требуется.

    как в pfsense правильно настраивать доступ к сайту, расположенному внутри сети?

    Настроить SplitDNS . Не надо NAT трогать

    похоже, меня разбаловала относительная простота настройки Mikrotik'ов,

    Хм. Не назвал бы настройку МТ такой уж простой. Сам сижу в телего-чатике МТ. И вопросов по настройке там "будь здоров". Пф гораздо информативнее и дружественнее, как по мне. Особенно, если читать https://docs.netgate.com/pfsense/en/latest/


Log in to reply