Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Проброс портов и тормоза

    Russian
    5
    33
    4997
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      artem last edited by

      Добрый день. такая проблема: есть сервер с Сайнсом(2.1.3) белый IP, всё как надо, за ним находиться веб сервер, пробошен порт 80 - сайт работает.
      НО!!! - очень медленно, много картинок - загружаются очень долго или вообще не грузятся
      Если подключить в Сайнсу по Ovpn и обращяться на прямую к веб серверу - скорость в разы больше и всё норм грузится.
      Как победить притормаживания Сайнса??

      1 Reply Last reply Reply Quote 0
      • werter
        werter last edited by

        Какие пакеты еще установлены на pf ? Задействован ли шейпер\limiter ?
        Покажите правила fw на LAN.

        1 Reply Last reply Reply Quote 0
        • A
          artem last edited by

          шейперов\лимитеров нет, есть прозрачная прокся

          1 Reply Last reply Reply Quote 0
          • werter
            werter last edited by

            Покажите правила fw на LAN, WAN.

            1 Reply Last reply Reply Quote 0
            • A
              artem last edited by

              не могу картинки добавить
              500 ошибка
              пакеты

              lan

              wan

              1 Reply Last reply Reply Quote 0
              • werter
                werter last edited by

                пробошен порт 80 - сайт работает.

                В правилах fw вашего WAN-а именно 80-го не видно. Или вы другой порт на WAN пробрасывали?

                Далее, вы изменили адрес порта Web-фейса самого pfsense  (по-дефолту http - 80-ый\TCP)?

                И проверяете вы извне или из локальной сети, обращаясь на внешний адрес pfsense ?

                P.s. На WAN имеются дублирующиеся правила. Обратите на это внимание.
                P.p.s. На чем крутится Web-сервер - apache, nginx, iis etc. ?

                1 Reply Last reply Reply Quote 0
                • A
                  artem last edited by

                  @werter:

                  пробошен порт 80 - сайт работает.

                  В правилах fw вашего WAN-а именно 80-го не видно. Или вы другой порт на WAN пробрасывали?

                  Далее, вы изменили адрес порта Web-фейса самого pfsense  (по-дефолту http - 80-ый\TCP)?

                  Пятое правило снизу порт 80 и последне правило 8080
                  Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)
                  проверяю из вне(в локалке нормально)

                  Web-фейс Сайнса не менялся

                  1 Reply Last reply Reply Quote 0
                  • D
                    dr.gopher last edited by

                    @artem:

                    Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

                    А на GUI Pfsense поменяли порт?

                    1 Reply Last reply Reply Quote 0
                    • A
                      artem last edited by

                      @dr.gopher:

                      @artem:

                      Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

                      А на GUI Pfsense поменяли порт?

                      Нет,не менял. Он доступен только из локалки, а по Wan IP отвечает веб сервет

                      1 Reply Last reply Reply Quote 0
                      • D
                        dr.gopher last edited by

                        @artem:

                        @dr.gopher:

                        @artem:

                        Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

                        А на GUI Pfsense поменяли порт?

                        Нет,не менял. Он доступен только из локалки, а по Wan IP отвечает веб сервет

                        Вот и поменяйте на нестандартный порт. Возможно вы заходите на PfSense по 80 порту.

                        1 Reply Last reply Reply Quote 0
                        • A
                          artem last edited by

                          @dr.gopher:

                          @artem:

                          @dr.gopher:

                          @artem:

                          Apache на 80 порту 1 сайт, и 1 доп сервис на 8080(по суте тоже сайт)

                          А на GUI Pfsense поменяли порт?

                          Нет,не менял. Он доступен только из локалки, а по Wan IP отвечает веб сервет

                          Вот и поменяйте на нестандартный порт. Возможно вы заходите на PfSense по 80 порту.

                          Изменил порт Веб морды Сайнса на 88 –> результат тотже, тормоза на отдачю , тормозить HTTP и FTP

                          1 Reply Last reply Reply Quote 0
                          • werter
                            werter last edited by

                            Глупая мысль, а провайдер не режет случаем?
                            Попробуйте временно сменить pf на какой-нибудь tp-link, d-link и проверить на нем.

                            1 Reply Last reply Reply Quote 0
                            • D
                              delari last edited by

                              присоединяюсь к вопросу тока у меня еще хуже с внешнего IP не могу достучатся до внутреннего сайта, ну и по аналогии и до SQL сервера

                              помогите кто чем может
                              скрины FW чето не могу отправить но грубо

                              Firewall: Rules
                              IPv4 TCP               * * 192.168.90.238 80 (HTTP) * none   NAT 
                              IPv4 TCP        * * 192.168.90.238 443 (HTTPS) * none         NAT
                                      IPv4 TCP/UDP       * * 10.194.90.240 1433         * none   NAT

                              внешний IP 85.23.15.109 даже не пингуется с инета

                              ссылка на картинку http://i61.fastpic.ru/big/2014/0623/8a/73c920efddb3d93a1d1a47827696c88a.png

                              1 Reply Last reply Reply Quote 0
                              • werter
                                werter last edited by

                                @ delari

                                1.

                                C:\Users\user>ping 85.23.15.109

                                Обмен пакетами с 85.23.15.109 по с 32 байтами данных:
                                Ответ от 85.23.15.109: число байт=32 время=94мс TTL=48
                                Ответ от 85.23.15.109: число байт=32 время=90мс TTL=48

                                Статистика Ping для 85.23.15.109:
                                    Пакетов: отправлено = 2, получено = 2, потеряно = 0
                                    (0% потерь)
                                Приблизительное время приема-передачи в мс:
                                    Минимальное = 90мсек, Максимальное = 94 мсек, Среднее = 92 мсек
                                Control-C
                                ^C

                                Как бы "не все однозначно". И да, чтобы пинговалось - должно быть правило, разрешающее ICMP на WAN address.

                                2. У вас на WAN - "белый"  адрес (динамика\статика) ? Какой тип подключения исп-ся? Не исп-ся ли несколько провайдеров?

                                3. Все ли ваши машины имеют шлюзом локальный адрес pfsense ?

                                4. Firewall: Rules
                                    IPv4 TCP                *    *    192.168.90.238    80 (HTTP)    *    none        NAT 
                                    IPv4 TCP          *    *    192.168.90.238    443 (HTTPS)    *    none            NAT
                                        IPv4 TCP/UDP        *    *    10.194.90.240   1433            *    none        NAT

                                Почему сети разные? Их несколько или это последствия типа вашего подключения с Сети (т.н. Dual\Russian) ?

                                В общем - одни вопросы…

                                P.s. О-о-о, вы из Финляндии?

                                1 Reply Last reply Reply Quote 0
                                • D
                                  delari last edited by

                                  85.23.15.109 это не мой адресс = написал просто для примера мой 88.86.221.109

                                  2. WAN статичный адрес
                                  3.IP шлюз маска днс днс2  - без логина и пароля (не помню тип подключения)
                                  4. 1 провайдер - инсис
                                  5 идет по схеме    Inet ->>> pfsense –-> static adress clienta 192.168.0. 238
                                                                                                ->  static adress clienta 240 и т.д.

                                  измени у себя 10.194.90. на 192.168.90 не поменял просто
                                  Firewall: Rules
                                      IPv4 TCP                *    *    192.168.90.238    80 (HTTP)    *    none        NAT 
                                      IPv4 TCP          *    *    192.168.90.238    443 (HTTPS)    *    none            NAT
                                          IPv4 TCP/UDP        *    *    192.168.90.240    1433            *    none        NAT

                                  1 Reply Last reply Reply Quote 0
                                  • werter
                                    werter last edited by

                                    1. Я выделил жирным адрес. Он не из вашей сети - зачем он там в правиле?

                                    2. И да, чтобы пинговалось - должно быть правило, разрешающее ICMP на WAN address.

                                    В чем проблема создать правило на WAN ? Если оно вам необходимо, конечно.

                                    P.s. Т.е WAN на pfsense имеет реальный адрес - 8х.х.х.х ? Я правильно понял? Или там что-то типа 192.168.х.х, 10.х.х.х.х ?
                                    Потому как постоянный реальный IP у вашего пров-ра - платный.

                                    1 Reply Last reply Reply Quote 0
                                    • D
                                      delari last edited by

                                      @werter:

                                      1. Я выделил жирным адрес. Он не из вашей сети - зачем он там в правиле?

                                      2. И да, чтобы пинговалось - должно быть правило, разрешающее ICMP на WAN address.

                                      В чем проблема создать правило на WAN ? Если оно вам необходимо, конечно.

                                      P.s. Т.е WAN на pfsense имеет реальный адрес - 8х.х.х.х ? Я правильно понял? Или там что-то типа 192.168.х.х, 10.х.х.х.х ?
                                      Потому как постоянный реальный IP у вашего пров-ра - платный.

                                      WAN на pfsense имеет реальный адрес - 8х.х.х.х

                                      добавил правило, разрешающее ICMP на WAN address пинг пшл -  коннекта нету
                                      и то что вы выделили жирным шрифтом это просто моя опечатка в правилах все адреса из одной сети 192.168.х.х

                                      1 Reply Last reply Reply Quote 0
                                      • werter
                                        werter last edited by

                                        1. Вы так и не ответили - все ли ваши машины имеют в кач-ве шлюза LAN address пф ? Так ли это ?

                                        2. коннекта нету

                                        Необходимо проверять со внешней стороны (другой провайдер etc.) . Ибо есть ньюансы.

                                        P.s.

                                        мой 88.86.221.109

                                        Не пингуется!

                                        Покажите правила на WAN.

                                        1 Reply Last reply Reply Quote 0
                                        • D
                                          delari last edited by

                                          @werter:

                                          1. Вы так и не ответили - все ли ваши машины имеют в кач-ве шлюза LAN address пф ? Так ли это ?

                                          2. коннекта нету

                                          Необходимо проверять со внешней стороны (другой провайдер etc.) . Ибо есть ньюансы.

                                          P.s.

                                          мой 88.86.221.109

                                          Не пингуется!

                                          Покажите правила на WAN.

                                          да всех машинах что есть прописано в ручную
                                          ip 192.168.0.x
                                          255 255 255 0
                                          шлюз - ip pfsense

                                          в инет они все выходят нормально

                                          1 Reply Last reply Reply Quote 0
                                          • werter
                                            werter last edited by

                                            http://i62.fastpic.ru/big/2014/0623/ed/f7ff2f5d82d466678c84a72c6be46ced.jpg

                                            Потому как эти ваши правила не связаны с Port forwarding!

                                            P.s. Мой вам совет - удалите ВСЕ правила на WAN и Port forwarding и создайте заново. Потому как у вас с ними просто бардак.

                                            1 Reply Last reply Reply Quote 0
                                            • D
                                              delari last edited by

                                              @werter:

                                              http://i62.fastpic.ru/big/2014/0623/ed/f7ff2f5d82d466678c84a72c6be46ced.jpg

                                              Потому как эти ваши правила не связаны с Port forwarding!

                                              P.s. Мой вам совет - удалите ВСЕ правила на WAN и Port forwarding и создайте заново. Потому как у вас с ними просто бардак.

                                              удалил не нужные хотя они не мешали

                                              новый скрин FW

                                              http://i61.fastpic.ru/big/2014/0623/ef/0346397f99aa8a7a9c9ac8a9bb4048ef.png

                                              при таких правилах пинг идет, но по WAN сайт внутренний не открывает

                                              http://i64.fastpic.ru/big/2014/0623/c2/e39cec72a08d15aa555032b160c1b1c2.png

                                              1 Reply Last reply Reply Quote 0
                                              • werter
                                                werter last edited by

                                                http://i63.fastpic.ru/big/2014/0623/6e/fc0cd88d074fe633af909205b2e7196e.jpg

                                                http://i61.fastpic.ru/big/2014/0623/74/f64579abefedc18b0bf24ce36b759c74.jpg

                                                1 Reply Last reply Reply Quote 0
                                                • D
                                                  delari last edited by

                                                  @werter:

                                                  http://i63.fastpic.ru/big/2014/0623/6e/fc0cd88d074fe633af909205b2e7196e.jpg

                                                  http://i61.fastpic.ru/big/2014/0623/74/f64579abefedc18b0bf24ce36b759c74.jpg

                                                  Если я его убираю пинга нет я хз почему + в ридерект таргет требуется указать адрес цели - если я пингую WAN я и указал WAN IP

                                                  1 Reply Last reply Reply Quote 0
                                                  • werter
                                                    werter last edited by

                                                    @ delari
                                                    Всё, умываю руки :(

                                                    Поищите в гугле книгу по pf . Есть и на русском.

                                                    1 Reply Last reply Reply Quote 0
                                                    • D
                                                      delari last edited by

                                                      @werter:

                                                      @ delari
                                                      Всё, умываю руки :(

                                                      Поищите в гугле книгу по pf . Есть и на русском.

                                                      Смысл было тогда распрашивать?

                                                      вопрос такой как правильно пробросить порты

                                                      имя WAN - 12.14.14.14

                                                      на локальную машину 192.168.0.100

                                                      по протоколу HTTP (80)

                                                      чтобы с любого компа в инете открыть этот долбаный сайт?

                                                      создаю правило

                                                      WAN TCP * * WAN address 80 (HTTP) 192.168.0.100 80 (HTTP)

                                                      что дальше?

                                                      1 Reply Last reply Reply Quote 0
                                                      • werter
                                                        werter last edited by

                                                        Смысл было тогда распрашивать?

                                                        Т.е. вы на протяжение 2-ух страниц еще с кем-то общались? Кто-то еще помогал?

                                                        Учиться, учиться, учиться… (В.И. Ульянов (Ленин))

                                                        1 Reply Last reply Reply Quote 0
                                                        • D
                                                          delari last edited by

                                                          @werter:

                                                          Смысл было тогда распрашивать?

                                                          Т.е. вы на протяжение 2-ух страниц еще с кем-то общались? Кто-то еще помогал?

                                                          Учиться, учиться, учиться… (В.И. Ульянов (Ленин))

                                                          Вы единственный кто расспросил и в конце когда уже по идеи возможные причины неполадки и их решения - умываю руки

                                                          а взять даже первую строку из гугла по перебросу портов в pfsense я и без форума могу
                                                          http://www.thin.kiev.ua/router-os/50-pfsense/399–pfsense-20.html

                                                          1 Reply Last reply Reply Quote 0
                                                          • D
                                                            dvserg last edited by

                                                            Про проброс портов спрашивают практически через день.
                                                            Поищите здесь https://forum.pfsense.org/index.php?topic=22839.0 , а так-же поиском по форуму.

                                                            1 Reply Last reply Reply Quote 0
                                                            • D
                                                              delari last edited by

                                                              @dvserg:

                                                              Про проброс портов спрашивают практически через день.
                                                              Поищите здесь https://forum.pfsense.org/index.php?topic=22839.0 , а так-же поиском по форуму.

                                                              в том то и дело что по скринам из раздела
                                                              Мапинг портов в pfSense 2.x на примере RDP протокола

                                                              все также, но пациент мертв

                                                              1 Reply Last reply Reply Quote 0
                                                              • D
                                                                dvserg last edited by

                                                                А зачем Вы портфорвард для ICMP делаете, и что за закрашенные адреса в правилах?

                                                                1 Reply Last reply Reply Quote 0
                                                                • werter
                                                                  werter last edited by

                                                                  @ dvserg

                                                                  Не поверите - это человек так ICMP разрешает на WAN.

                                                                  P.s. Я уже помочь пытался - в этом случае дело неблагодарное.

                                                                  1 Reply Last reply Reply Quote 0
                                                                  • D
                                                                    dvserg last edited by

                                                                    @werter:

                                                                    @ dvserg

                                                                    Не поверите - это человек так ICMP разрешает на WAN.

                                                                    P.s. Я уже помочь пытался - в этом случае дело неблагодарное.

                                                                    Ну выход всегда есть - воспользоваться платной помощью по настройке.

                                                                    1 Reply Last reply Reply Quote 0
                                                                    • A
                                                                      artem last edited by

                                                                      @werter:

                                                                      Глупая мысль, а провайдер не режет случаем?

                                                                      Доброго времени суток.
                                                                      Отчитываюсь: было выявлено следующее: потери пакетов до Default gateway, в остальных направлениях пинг без проблем.
                                                                      После воскресного пинка звонка в саппотр, с разбором полётов, в понедельник утром проблема самоустранилась  ;D
                                                                      Всем спасибо, тему можно закрыть.

                                                                      P.s.  Тем более что параллельное обсуждение всё равно зашло в тупик….

                                                                      1 Reply Last reply Reply Quote 0
                                                                      • First post
                                                                        Last post

                                                                      Products

                                                                      • Platform Overview
                                                                      • TNSR
                                                                      • pfSense
                                                                      • Appliances

                                                                      Services

                                                                      • Training
                                                                      • Professional Services

                                                                      Support

                                                                      • Subscription Plans
                                                                      • Contact Support
                                                                      • Product Lifecycle
                                                                      • Documentation

                                                                      News

                                                                      • Media Coverage
                                                                      • Press
                                                                      • Events

                                                                      Resources

                                                                      • Blog
                                                                      • FAQ
                                                                      • Find a Partner
                                                                      • Resource Library
                                                                      • Security Information

                                                                      Company

                                                                      • About Us
                                                                      • Careers
                                                                      • Partners
                                                                      • Contact Us
                                                                      • Legal
                                                                      Our Mission

                                                                      We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                                                                      Subscribe to our Newsletter

                                                                      Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                                                                      © 2021 Rubicon Communications, LLC | Privacy Policy