PfSense проблема с сертификатами



  • Добрый день всем пользователем данного форума!
    Обращаюсь к Вам в надежде разрешить свою проблему.
    Имеется компьютер на котором соответственно установлен Pfsense и он выполняет роль маршрутизатора, также имеются сервера, на которых крутятся докер контейнеры.
    В этих докер контейнерах запущены различные сервисы, у которых есть web gui и которые их отдают по их личному доменному имени, которые также доступны с сети интернет.
    Также есть докер контейнер который выполняет роль обратного прокси сервера, видит все запросы с инета и кидает их внутри других контейнеров и забирает обратно их веб страницы, автоматически им перевыпускает сертификаты (они работают все по https).
    Настроен dns resolver на pfsense, но в последнее время на всех клиентских компьютеров вышли ошибки в браузере, ругается на веб-конфигуратор pfsense, хотя самоподписанный сертификат его продлен до 2023 года, все браузеры выдают ошибку NET::ERR_CERT_COMMON_NAME_INVALID, а докер контейнер (обратный прокси-сервер) перестал перевыпускать сертификаты, по логам ругается (acme: Error 400 - urn:acme:error:connection - Fetching http://***.ru/.well-known/acme-challenge/Q77z4qhCQT5ikBjUC7_n77KxqE37: Timeout during connect (likely firewall problem) )
    Думаю что проблема в расширенных настройках веб конфигуратора либо в межсетевом экране, пока не могу разобраться. Кто нибудь сталкивался с данной бедой? До этого браузер нормально реагировал на сертификат web gui pfsense, что то произошло и начал на него ругаться.
    Прошу помочь, у кого хотя бы какие мысли есть по данному поводу. Спасибо!



  • @pirantel
    Проверьте, что все домены у вас резолвятся корректно, как на клиентах, так и на самом pfSense. В GUI pfSense по IP заходите, или по доменному имени?



  • Добрый.
    @pirantel

    На пф проброс 80 и 443 портов идет на контейнер который, выполняет роль обратного прокси сервера?
    Покажите скрины правил fw и port forwrd.



  • @rubic если с локального компьютера вбить доменное имя любое сервиса, то смогу зайти спокойно, но к сожалению, с сети интернет, они не доступны. В pfSense захожу по локальному ip.



  • @pirantel

    но к сожалению, с сети интернет, они не доступны.

    Вы как это проверяете? Проверяйте с ДРУГОГО провайдера (напр., с моб. интернета), а не обращаясь к внешнему имени сайта из ЛАН (петля).



  • @werter спасибо за ответ, да, совершенно верно, проверяю я его с другого провайдера, как раз таки с мобильного интернета.



  • @werter скину примерно схемотехнику сети, чтобы было более понятно
    raspoloshenie.png
    на обратном прокси-сервере по порту 5055, и 403 раздает веб-морду двух веб-сервисов, по 80 если не ошибаюсь идет перевыпуск сертификатов (точнее подтверждение владения доменом). На pfSense установлен белый внешний ip, и настроен dns resolver, и соответственно, у регистратора домена в записи также все указано, и ссылает на наш wan ip. Сервер с ip 192.168.0.210.
    Проблема в том, что в последнее время обратный прокси-сервер не может перевыпустить сертификаты для веб-сервисов (alpine linux, c lego acme), в логах контейнера указывает что info_docker.png
    И в данный момент нет доступ из "другой" сети интернет к данный веб-сервисам, и помимо всего прочего браузер ругается на сертификат веб-конфигуратора pfSense
    сертификат.png
    хотя он установлен в системе, в папку доверительные.
    Скрины проброса портов и правил прилагаю
    nat.png
    wan_rules.png



  • @pirantel
    Внимательно гляньте на свой последний скрин.

    У вас для 443 - проброс, а для 80-го - НЕ ПРОБРОС, а просто правило .

    2020-04-14 18_41_39-PfSense проблема с сертификатами _ Netgate Forum - Vivaldi.png

    Исправляйте.

    И порты вебки пф смените на отличные от 80 и 443.



  • @werter cпасибо Вам большое! Да, верно - исправил, и правило изменил, обновил его, и все заработало! Спасибо еще раз Вам большое ! :)))



  • @pirantel
    Пож-та )

    С вас инс-ция по настройке выдачи сертификатов с пом. обратного прокси. Реально может пригодиться.
    Заранее благодарен.


Log in to reply