Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Проброс портов и тормоза

    Russian
    5
    33
    5025
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      artem last edited by

      Добрый день. такая проблема: есть сервер с Сайнсом(2.1.3) белый IP, всё как надо, за ним находиться веб сервер, пробошен порт 80 - сайт работает.
      НО!!! - очень медленно, много картинок - загружаются очень долго или вообще не грузятся
      Если подключить в Сайнсу по Ovpn и обращяться на прямую к веб серверу - скорость в разы больше и всё норм грузится.
      Как победить притормаживания Сайнса??

      1 Reply Last reply Reply Quote 0
      • werter
        werter last edited by

        Какие пакеты еще установлены на pf ? Задействован ли шейпер\limiter ?
        Покажите правила fw на LAN.

        1 Reply Last reply Reply Quote 0
        • A
          artem last edited by

          шейперов\лимитеров нет, есть прозрачная прокся

          1 Reply Last reply Reply Quote 0
          • werter
            werter last edited by

            Покажите правила fw на LAN, WAN.

            1 Reply Last reply Reply Quote 0
            • A
              artem last edited by

              не могу картинки добавить
              500 ошибка
              пакеты

              lan

              wan

              1 Reply Last reply Reply Quote 0
              • werter
                werter last edited by

                пробошен порт 80 - сайт работает.

                В правилах fw вашего WAN-а именно 80-го не видно. Или вы другой порт на WAN пробрасывали?

                Далее, вы изменили адрес порта Web-фейса самого pfsense  (по-дефолту http - 80-ый\TCP)?

                И проверяете вы извне или из локальной сети, обращаясь на внешний адрес pfsense ?

                P.s. На WAN имеются дублирующиеся правила. Обратите на это внимание.
                P.p.s. На чем крутится Web-сервер - apache, nginx, iis etc. ?

                1 Reply Last reply Reply Quote 0
                • A
                  artem last edited by

                  @werter:

                  пробошен порт 80 - сайт работает.

                  В правилах fw вашего WAN-а именно 80-го не видно. Или вы другой порт на WAN пробрасывали?

                  Далее, вы изменили адрес порта Web-фейса самого pfsense  (по-дефолту http - 80-ый\TCP)?

                  Пятое правило снизу порт 80 и последне правило 8080
                  Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)
                  проверяю из вне(в локалке нормально)

                  Web-фейс Сайнса не менялся

                  1 Reply Last reply Reply Quote 0
                  • D
                    dr.gopher last edited by

                    @artem:

                    Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

                    А на GUI Pfsense поменяли порт?

                    FAQ PfSense 2.0

                    И не забываем про Adblock дабы не видеть баннеров.

                    И многое другое на www.thin.kiev.ua

                    1 Reply Last reply Reply Quote 0
                    • A
                      artem last edited by

                      @dr.gopher:

                      @artem:

                      Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

                      А на GUI Pfsense поменяли порт?

                      Нет,не менял. Он доступен только из локалки, а по Wan IP отвечает веб сервет

                      1 Reply Last reply Reply Quote 0
                      • D
                        dr.gopher last edited by

                        @artem:

                        @dr.gopher:

                        @artem:

                        Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

                        А на GUI Pfsense поменяли порт?

                        Нет,не менял. Он доступен только из локалки, а по Wan IP отвечает веб сервет

                        Вот и поменяйте на нестандартный порт. Возможно вы заходите на PfSense по 80 порту.

                        FAQ PfSense 2.0

                        И не забываем про Adblock дабы не видеть баннеров.

                        И многое другое на www.thin.kiev.ua

                        1 Reply Last reply Reply Quote 0
                        • A
                          artem last edited by

                          @dr.gopher:

                          @artem:

                          @dr.gopher:

                          @artem:

                          Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

                          А на GUI Pfsense поменяли порт?

                          Нет,не менял. Он доступен только из локалки, а по Wan IP отвечает веб сервет

                          Вот и поменяйте на нестандартный порт. Возможно вы заходите на PfSense по 80 порту.

                          Изменил порт Веб морды Сайнса на 88 –> результат тотже, тормоза на отдачю , тормозить HTTP и FTP

                          1 Reply Last reply Reply Quote 0
                          • werter
                            werter last edited by

                            Глупая мысль, а провайдер не режет случаем?
                            Попробуйте временно сменить pf на какой-нибудь tp-link, d-link и проверить на нем.

                            1 Reply Last reply Reply Quote 0
                            • D
                              delari last edited by

                              присоединяюсь к вопросу тока у меня еще хуже с внешнего IP не могу достучатся до внутреннего сайта, ну и по аналогии и до SQL сервера

                              помогите кто чем может
                              скрины FW чето не могу отправить но грубо

                              Firewall: Rules
                              IPv4 TCP               * * 192.168.90.238 80 (HTTP) * none   NAT 
                              IPv4 TCP        * * 192.168.90.238 443 (HTTPS) * none         NAT
                                      IPv4 TCP/UDP       * * 10.194.90.240 1433         * none   NAT

                              внешний IP 85.23.15.109 даже не пингуется с инета

                              ссылка на картинку http://i61.fastpic.ru/big/2014/0623/8a/73c920efddb3d93a1d1a47827696c88a.png

                              1 Reply Last reply Reply Quote 0
                              • werter
                                werter last edited by

                                @ delari

                                1.

                                C:\Users\user>ping 85.23.15.109

                                Обмен пакетами с 85.23.15.109 по с 32 байтами данных:
                                Ответ от 85.23.15.109: число байт=32 время=94мс TTL=48
                                Ответ от 85.23.15.109: число байт=32 время=90мс TTL=48

                                Статистика Ping для 85.23.15.109:
                                    Пакетов: отправлено = 2, получено = 2, потеряно = 0
                                    (0% потерь)
                                Приблизительное время приема-передачи в мс:
                                    Минимальное = 90мсек, Максимальное = 94 мсек, Среднее = 92 мсек
                                Control-C
                                ^C

                                Как бы "не все однозначно". И да, чтобы пинговалось - должно быть правило, разрешающее ICMP на WAN address.

                                2. У вас на WAN - "белый"  адрес (динамика\статика) ? Какой тип подключения исп-ся? Не исп-ся ли несколько провайдеров?

                                3. Все ли ваши машины имеют шлюзом локальный адрес pfsense ?

                                4. Firewall: Rules
                                    IPv4 TCP                *    *    192.168.90.238    80 (HTTP)    *    none        NAT 
                                    IPv4 TCP          *    *    192.168.90.238    443 (HTTPS)    *    none            NAT
                                        IPv4 TCP/UDP        *    *    10.194.90.240   1433            *    none        NAT

                                Почему сети разные? Их несколько или это последствия типа вашего подключения с Сети (т.н. Dual\Russian) ?

                                В общем - одни вопросы…

                                P.s. О-о-о, вы из Финляндии?

                                1 Reply Last reply Reply Quote 0
                                • D
                                  delari last edited by

                                  85.23.15.109 это не мой адресс = написал просто для примера мой 88.86.221.109

                                  2. WAN статичный адрес
                                  3.IP шлюз маска днс днс2  - без логина и пароля (не помню тип подключения)
                                  4. 1 провайдер - инсис
                                  5 идет по схеме    Inet ->>> pfsense –-> static adress clienta 192.168.0. 238
                                                                                                ->  static adress clienta 240 и т.д.

                                  измени у себя 10.194.90. на 192.168.90 не поменял просто
                                  Firewall: Rules
                                      IPv4 TCP                *    *    192.168.90.238    80 (HTTP)    *    none        NAT 
                                      IPv4 TCP          *    *    192.168.90.238    443 (HTTPS)    *    none            NAT
                                          IPv4 TCP/UDP        *    *    192.168.90.240    1433            *    none        NAT

                                  1 Reply Last reply Reply Quote 0
                                  • werter
                                    werter last edited by

                                    1. Я выделил жирным адрес. Он не из вашей сети - зачем он там в правиле?

                                    2. И да, чтобы пинговалось - должно быть правило, разрешающее ICMP на WAN address.

                                    В чем проблема создать правило на WAN ? Если оно вам необходимо, конечно.

                                    P.s. Т.е WAN на pfsense имеет реальный адрес - 8х.х.х.х ? Я правильно понял? Или там что-то типа 192.168.х.х, 10.х.х.х.х ?
                                    Потому как постоянный реальный IP у вашего пров-ра - платный.

                                    1 Reply Last reply Reply Quote 0
                                    • D
                                      delari last edited by

                                      @werter:

                                      1. Я выделил жирным адрес. Он не из вашей сети - зачем он там в правиле?

                                      2. И да, чтобы пинговалось - должно быть правило, разрешающее ICMP на WAN address.

                                      В чем проблема создать правило на WAN ? Если оно вам необходимо, конечно.

                                      P.s. Т.е WAN на pfsense имеет реальный адрес - 8х.х.х.х ? Я правильно понял? Или там что-то типа 192.168.х.х, 10.х.х.х.х ?
                                      Потому как постоянный реальный IP у вашего пров-ра - платный.

                                      WAN на pfsense имеет реальный адрес - 8х.х.х.х

                                      добавил правило, разрешающее ICMP на WAN address пинг пшл -  коннекта нету
                                      и то что вы выделили жирным шрифтом это просто моя опечатка в правилах все адреса из одной сети 192.168.х.х

                                      1 Reply Last reply Reply Quote 0
                                      • werter
                                        werter last edited by

                                        1. Вы так и не ответили - все ли ваши машины имеют в кач-ве шлюза LAN address пф ? Так ли это ?

                                        2. коннекта нету

                                        Необходимо проверять со внешней стороны (другой провайдер etc.) . Ибо есть ньюансы.

                                        P.s.

                                        мой 88.86.221.109

                                        Не пингуется!

                                        Покажите правила на WAN.

                                        1 Reply Last reply Reply Quote 0
                                        • D
                                          delari last edited by

                                          @werter:

                                          1. Вы так и не ответили - все ли ваши машины имеют в кач-ве шлюза LAN address пф ? Так ли это ?

                                          2. коннекта нету

                                          Необходимо проверять со внешней стороны (другой провайдер etc.) . Ибо есть ньюансы.

                                          P.s.

                                          мой 88.86.221.109

                                          Не пингуется!

                                          Покажите правила на WAN.

                                          да всех машинах что есть прописано в ручную
                                          ip 192.168.0.x
                                          255 255 255 0
                                          шлюз - ip pfsense

                                          в инет они все выходят нормально

                                          1 Reply Last reply Reply Quote 0
                                          • werter
                                            werter last edited by

                                            http://i62.fastpic.ru/big/2014/0623/ed/f7ff2f5d82d466678c84a72c6be46ced.jpg

                                            Потому как эти ваши правила не связаны с Port forwarding!

                                            P.s. Мой вам совет - удалите ВСЕ правила на WAN и Port forwarding и создайте заново. Потому как у вас с ними просто бардак.

                                            1 Reply Last reply Reply Quote 0
                                            • D
                                              delari last edited by

                                              @werter:

                                              http://i62.fastpic.ru/big/2014/0623/ed/f7ff2f5d82d466678c84a72c6be46ced.jpg

                                              Потому как эти ваши правила не связаны с Port forwarding!

                                              P.s. Мой вам совет - удалите ВСЕ правила на WAN и Port forwarding и создайте заново. Потому как у вас с ними просто бардак.

                                              удалил не нужные хотя они не мешали

                                              новый скрин FW

                                              http://i61.fastpic.ru/big/2014/0623/ef/0346397f99aa8a7a9c9ac8a9bb4048ef.png

                                              при таких правилах пинг идет, но по WAN сайт внутренний не открывает

                                              http://i64.fastpic.ru/big/2014/0623/c2/e39cec72a08d15aa555032b160c1b1c2.png

                                              1 Reply Last reply Reply Quote 0
                                              • werter
                                                werter last edited by

                                                http://i63.fastpic.ru/big/2014/0623/6e/fc0cd88d074fe633af909205b2e7196e.jpg

                                                http://i61.fastpic.ru/big/2014/0623/74/f64579abefedc18b0bf24ce36b759c74.jpg

                                                1 Reply Last reply Reply Quote 0
                                                • D
                                                  delari last edited by

                                                  @werter:

                                                  http://i63.fastpic.ru/big/2014/0623/6e/fc0cd88d074fe633af909205b2e7196e.jpg

                                                  http://i61.fastpic.ru/big/2014/0623/74/f64579abefedc18b0bf24ce36b759c74.jpg

                                                  Если я его убираю пинга нет я хз почему + в ридерект таргет требуется указать адрес цели - если я пингую WAN я и указал WAN IP

                                                  1 Reply Last reply Reply Quote 0
                                                  • werter
                                                    werter last edited by

                                                    @ delari
                                                    Всё, умываю руки :(

                                                    Поищите в гугле книгу по pf . Есть и на русском.

                                                    1 Reply Last reply Reply Quote 0
                                                    • D
                                                      delari last edited by

                                                      @werter:

                                                      @ delari
                                                      Всё, умываю руки :(

                                                      Поищите в гугле книгу по pf . Есть и на русском.

                                                      Смысл было тогда распрашивать?

                                                      вопрос такой как правильно пробросить порты

                                                      имя WAN - 12.14.14.14

                                                      на локальную машину 192.168.0.100

                                                      по протоколу HTTP (80)

                                                      чтобы с любого компа в инете открыть этот долбаный сайт?

                                                      создаю правило

                                                      WAN TCP * * WAN address 80 (HTTP) 192.168.0.100 80 (HTTP)

                                                      что дальше?

                                                      1 Reply Last reply Reply Quote 0
                                                      • werter
                                                        werter last edited by

                                                        Смысл было тогда распрашивать?

                                                        Т.е. вы на протяжение 2-ух страниц еще с кем-то общались? Кто-то еще помогал?

                                                        Учиться, учиться, учиться… (В.И. Ульянов (Ленин))

                                                        1 Reply Last reply Reply Quote 0
                                                        • D
                                                          delari last edited by

                                                          @werter:

                                                          Смысл было тогда распрашивать?

                                                          Т.е. вы на протяжение 2-ух страниц еще с кем-то общались? Кто-то еще помогал?

                                                          Учиться, учиться, учиться… (В.И. Ульянов (Ленин))

                                                          Вы единственный кто расспросил и в конце когда уже по идеи возможные причины неполадки и их решения - умываю руки

                                                          а взять даже первую строку из гугла по перебросу портов в pfsense я и без форума могу
                                                          http://www.thin.kiev.ua/router-os/50-pfsense/399–pfsense-20.html

                                                          1 Reply Last reply Reply Quote 0
                                                          • D
                                                            dvserg last edited by

                                                            Про проброс портов спрашивают практически через день.
                                                            Поищите здесь https://forum.pfsense.org/index.php?topic=22839.0 , а так-же поиском по форуму.

                                                            SquidGuardDoc EN  RU Tutorial
                                                            Localization ru_PFSense

                                                            1 Reply Last reply Reply Quote 0
                                                            • D
                                                              delari last edited by

                                                              @dvserg:

                                                              Про проброс портов спрашивают практически через день.
                                                              Поищите здесь https://forum.pfsense.org/index.php?topic=22839.0 , а так-же поиском по форуму.

                                                              в том то и дело что по скринам из раздела
                                                              Мапинг портов в pfSense 2.x на примере RDP протокола

                                                              все также, но пациент мертв

                                                              1 Reply Last reply Reply Quote 0
                                                              • D
                                                                dvserg last edited by

                                                                А зачем Вы портфорвард для ICMP делаете, и что за закрашенные адреса в правилах?

                                                                SquidGuardDoc EN  RU Tutorial
                                                                Localization ru_PFSense

                                                                1 Reply Last reply Reply Quote 0
                                                                • werter
                                                                  werter last edited by

                                                                  @ dvserg

                                                                  Не поверите - это человек так ICMP разрешает на WAN.

                                                                  P.s. Я уже помочь пытался - в этом случае дело неблагодарное.

                                                                  1 Reply Last reply Reply Quote 0
                                                                  • D
                                                                    dvserg last edited by

                                                                    @werter:

                                                                    @ dvserg

                                                                    Не поверите - это человек так ICMP разрешает на WAN.

                                                                    P.s. Я уже помочь пытался - в этом случае дело неблагодарное.

                                                                    Ну выход всегда есть - воспользоваться платной помощью по настройке.

                                                                    SquidGuardDoc EN  RU Tutorial
                                                                    Localization ru_PFSense

                                                                    1 Reply Last reply Reply Quote 0
                                                                    • A
                                                                      artem last edited by

                                                                      @werter:

                                                                      Глупая мысль, а провайдер не режет случаем?

                                                                      Доброго времени суток.
                                                                      Отчитываюсь: было выявлено следующее: потери пакетов до Default gateway, в остальных направлениях пинг без проблем.
                                                                      После воскресного пинка звонка в саппотр, с разбором полётов, в понедельник утром проблема самоустранилась  ;D
                                                                      Всем спасибо, тему можно закрыть.

                                                                      P.s.  Тем более что параллельное обсуждение всё равно зашло в тупик….

                                                                      1 Reply Last reply Reply Quote 0
                                                                      • First post
                                                                        Last post