HAProxy, NAT, LAN(доступ к WAN ip)



  • Есть HAproxy(несколько тестовых ресурсов) которые корректно отображаются если заходить извне. но как только это делаешь из LAN получаешь ошибку о не возможности отрыть портал. Причем с OpenVPN все прекрасно работает(с редиректорм gateway). Сначала проверил правила NAT Reflection(Enable NAT Reflection for 1:1 NAT и NAT Reflection mode for port forwards -disabled/nat+proxy/purenat, а так же их различные комбинации). Если бы не был корректный проброс из вне портал не открывался бы.



  • SplitDNS не вариант(наверное больше как костыль).



  • @k0st1k said in HAProxy, NAT, LAN(доступ к WAN ip):

    SplitDNS не вариант(наверное больше как костыль).

    NAT Reflection Caveats

    NAT reflection is a hack as it loops traffic through the firewall when it is not necessary

    https://docs.netgate.com/pfsense/en/latest/book/nat/nat-reflection.html#nat-reflection-caveats



  • Добрый

    @k0st1k
    SplitDNS не вариант(наверное больше как костыль).

    В чем причина? 100500 сайтов хостится?
    Костыль - это делать loopback.



  • @werter Да как бы намечается тестирование и постоянное добавление/удаление хостов. их не так много будет в конечном итоге, но хотелось бы минимизации теловдивжений при их добавлении.
    Вариант с DNS ранее использовали и хотелось бы централизации.
    Чем плох loopback(понимаю что это петля и при желании можно будет вызвать падение интерфейса).



  • @k0st1k я с HAProxy не работал, но вот это вы читали Services > HAProxy > Frontend > Listen аddress "...note that if you are trying to redirect connections on the LAN select the "any" option" ?



  • @rubic said in HAProxy, NAT, LAN(доступ к WAN ip):

    note that if you are trying to redirect connections on the LAN select the "any" option"

    тоесть для того чтобы происходил коректный редирект с LAN при обращении к WAN по dns не стоит делать привязку к интерфейсу?
    а как быть если операторов WAN два?



  • @k0st1k да вы попробуйте просто, я не вижу проблем (в теории)



  • @rubic собственно ничего не изменилось. попробовал из lan зайти по адресу который через HA висит на wan-address. причем принудительно зашел именно на https(на http не дает сделать запись так как почему-то занято, хотя netstat говорит об обратном). похоже всетаки придется городить еще и DNS.



  • @k0st1k
    Можно в дом и через окно ходить. Но через двери как-то сподручнее.

    SplitDNS - ваше спасение. Только сперва заверните принудительно правилами port forw на ЛАН все ДНС-запросы клиентов на This firewall\LAN addr пф. И рисуйте себе сопоставление адрес <-> ip в unbound. Кеш браузера и ДНС на клиентах чистите для проверки.



  • @werter
    смирился) и начал использовать DNS(до этого так же пользовался)
    Спасибо всем не равнодушным)


Log in to reply