Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Проблема с PFsense и битрикс.

    Russian
    6
    31
    3340
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      KeHTok last edited by

      Всем здрасьте. Суть такова: есть локалка. Инет идет по статичному айпишнику. Само собой инет раздается через pfsense. есть доменное имя которое привязано к статичному айпи провайдера. добавил правило нат чтобы этот айпишник перенаправлять на одну из локальных машин , на которой крутится веб окружение с битриксом. так вот из внешней сети по доменному имени pfsense перенаправляет на лдокальный айпи с битриком. а из самой локалки по доменному имени не возможно попасть на эту машину.  как в pfsense настроить нат так чтобы из внутренней локальной сети компы попадали на комп с битриксом по доменному адресу а не по внутреннему айпи?

      1 Reply Last reply Reply Quote 0
      • werter
        werter last edited by

        Скрины правил fw, port forwarding.

        1 Reply Last reply Reply Quote 0
        • K
          KeHTok last edited by

          правило которое перенаправляет с внешнего на локальный


          1 Reply Last reply Reply Quote 0
          • D
            dvserg last edited by

            Перенаправление из локалки в локалку плохая идея. Настройте DNS в локалке, чтобы он разрешал Битрикс в локальный IP адрес, либо попробуйте настроить так (мапинг + НАТ) https://forum.pfsense.org/index.php/topic,40376.msg208841.html#msg208841

            SquidGuardDoc EN  RU Tutorial
            Localization ru_PFSense

            1 Reply Last reply Reply Quote 0
            • K
              KeHTok last edited by

              а можно плиз на пальцах я только начал работать с pfsense сложновато для восприятия…

              1 Reply Last reply Reply Quote 0
              • werter
                werter last edited by

                Есть ли DNS-сервер в локалке ? Если нет , то можно создать A-запись на самом pfsense.
                И что указано в кач-ве DNS на раб. станциях клиентов?

                1 Reply Last reply Reply Quote 0
                • K
                  KeHTok last edited by

                  наша сеть это подсеть. Сервер днс я так понимаю есть в головное сети и он раздает нам днс. 192.168.2.3  192.168.7.2

                  1 Reply Last reply Reply Quote 0
                  • K
                    KeHTok last edited by

                    собственно мы получаем их по DHCP

                    1 Reply Last reply Reply Quote 0
                    • K
                      KeHTok last edited by

                      Подскажите а как создать A-запись в pfsense? неплохой вариантик)))

                      1 Reply Last reply Reply Quote 0
                      • D
                        dr.gopher last edited by

                        @KeHTok:

                        Подскажите а как создать A-запись в pfsense? неплохой вариантик)))

                        http://www.thin.kiev.ua/router-os/50-pfsense/663-dns-forwarder-pfsense-20.html

                        FAQ PfSense 2.0

                        И не забываем про Adblock дабы не видеть баннеров.

                        И многое другое на www.thin.kiev.ua

                        1 Reply Last reply Reply Quote 0
                        • K
                          KeHTok last edited by

                          так не получится ибо включить DHCP сервер нет возможности поскольку мы получаем айпишники по DHCP головной сети

                          1 Reply Last reply Reply Quote 0
                          • P
                            pigbrother last edited by

                            А включения
                            NAT Reflection mode for port forwards (When enabled, this automatically creates additional NAT redirect rules for access to port forwards on your external IP addresses from within your internal networks.)
                            в
                            System: Advanced: Firewall and NAT

                            Недостаточно?

                            Работает без всяких манипуляций с DNS

                            1 Reply Last reply Reply Quote 0
                            • K
                              KeHTok last edited by

                              что из этого ???? и можно поподробнее что эта функция делает? ::)


                              1 Reply Last reply Reply Quote 0
                              • K
                                KeHTok last edited by

                                В ранних версиях pfSense нужно было убрать галочку у поля Disable NAT Reflection for port forwards. Сделано но все равно при попытке обращения к доменному имени выдает следующее :
                                Potential DNS Rebind attack detected, see бла бла бла википедия…
                                Try accessing the router by IP address instead of by hostname

                                1 Reply Last reply Reply Quote 0
                                • K
                                  KeHTok last edited by

                                  Это сообщение выдает при попытке зайти по доменному имени, если же я пытаюсь зайти по внешнему статичному айпи к которому имя привязано, то попадаю на веб морду pfsense))

                                  1 Reply Last reply Reply Quote 0
                                  • K
                                    KeHTok last edited by

                                    ну и соответственно при всем при этом если пробовать к примеру через hideme то все норм.

                                    1 Reply Last reply Reply Quote 0
                                    • D
                                      dr.gopher last edited by

                                      @KeHTok:

                                      Это сообщение выдает при попытке зайти по доменному имени, если же я пытаюсь зайти по внешнему статичному айпи к которому имя привязано, то попадаю на веб морду pfsense))

                                      ИМХО
                                      Измените порт админки ПФ с 80 на любой другой.

                                      FAQ PfSense 2.0

                                      И не забываем про Adblock дабы не видеть баннеров.

                                      И многое другое на www.thin.kiev.ua

                                      1 Reply Last reply Reply Quote 0
                                      • K
                                        KeHTok last edited by

                                        тогда из-за чего выдает
                                        Potential DNS Rebind attack detected, see бла бла бла википедия…
                                        Try accessing the router by IP address instead of by hostname ? ::)

                                        1 Reply Last reply Reply Quote 0
                                        • D
                                          dr.gopher last edited by

                                          @KeHTok:

                                          тогда из-за чего выдает
                                          Potential DNS Rebind attack detected, see бла бла бла википедия…
                                          Try accessing the router by IP address instead of by hostname ? ::)

                                          Из за того что вы ломитесь на айпи пфсенса по доменному имени.

                                          FAQ PfSense 2.0

                                          И не забываем про Adblock дабы не видеть баннеров.

                                          И многое другое на www.thin.kiev.ua

                                          1 Reply Last reply Reply Quote 0
                                          • K
                                            KeHTok last edited by

                                            а если я поставлю в настройках не 80 и не 443 порт то через браузер я уже не попаду в пфс?

                                            1 Reply Last reply Reply Quote 0
                                            • K
                                              KeHTok last edited by

                                              всё туплю с портом затупил) изменил на другой порт. теперь по доменному имени не выдает это сообщение, но и вовсе ничего не грузится. так же и по внешнему айпи я больше не попадаю на pfs но и так же ничего не грузится))

                                              1 Reply Last reply Reply Quote 0
                                              • K
                                                KeHTok last edited by

                                                другими словами из локалки я попрежнему не могу зайти на сайт по доменному имени…

                                                1 Reply Last reply Reply Quote 0
                                                • K
                                                  KeHTok last edited by

                                                  вообщем получается следующее , когда я стучусь на доменное имя из внешней сети то по доменному имени меня кидает на ip инета который  pfs перенаправляет на мой локальный комп и соответственно я вижу свой сайт. Когда же я стучусь на доменное имя из локалки по идее происходит тоже самое …так вот вопрос в том почему pfs не перенаправляет меня на локальный комп с сайтом...

                                                  1 Reply Last reply Reply Quote 0
                                                  • D
                                                    dvserg last edited by

                                                    @KeHTok:

                                                    вообщем получается следующее , когда я стучусь на доменное имя из внешней сети то по доменному имени меня кидает на ip инета который  pfs перенаправляет на мой локальный комп и соответственно я вижу свой сайт. Когда же я стучусь на доменное имя из локалки по идее происходит тоже самое …так вот вопрос в том почему pfs не перенаправляет меня на локальный комп с сайтом...

                                                    При локальном маппинге портов (пробросе портов как любят говорить) сайт, получая перенаправленный пакет от pfSense, видит отправителем непосредственно клиента, и соответственно кидает ответ ему напрямую. При этом клиент установил соединение с адресом pfSense и ждет ответа с этого-же адреса, а прямой ответ сайта игнорирует (неопознанный пакет).

                                                    Здесь возможно 3 варианта исправления ситуации:

                                                    • разрешать клиенту имя сайта в локальный IP сайта = локальный DNS
                                                    • вместе с портфорвардом маскировать адрес отправителя с помощью NAT (подменять на адрес pfSense), чтобы сайт отвечал клиенту через pfSense
                                                    • вынести сайт в отдельную DMZ, тогда все пакеты будут идти туда-обратно через pfSense.

                                                    SquidGuardDoc EN  RU Tutorial
                                                    Localization ru_PFSense

                                                    1 Reply Last reply Reply Quote 0
                                                    • K
                                                      KeHTok last edited by

                                                      более менее понятно. а как это осуществить на деле не подскажите? ткните так сказать где и что надо настроить) а то голова уже кипеть начинает))
                                                      а еще такой вопрос. а как же тогда работает эта схема при обращении из внешней сети?

                                                      1 Reply Last reply Reply Quote 0
                                                      • D
                                                        dr.gopher last edited by

                                                        @KeHTok:

                                                        более менее понятно. а как это осуществить на деле не подскажите? ткните так сказать где и что надо настроить) а то голова уже кипеть начинает))
                                                        а еще такой вопрос. а как же тогда работает эта схема при обращении из внешней сети?

                                                        В ситуации если ваш пфсенс является шлюзом по умолчанию для сервера на который вы переадресовываете, достаточно сделать так:
                                                        http://www.thin.kiev.ua/router-os/50-pfsense/399–pfsense-20.html

                                                        Ежели шлюз не прописан, то так:
                                                        http://www.thin.kiev.ua/router-os/50-pfsense/456-222.html

                                                        Другие варианты:
                                                        http://www.thin.kiev.ua/router-os/50-pfsense/628-all-portforward-pfsense.html

                                                        P.S. Бывают случаи когда x64 сборка не делает того что должна.

                                                        FAQ PfSense 2.0

                                                        И не забываем про Adblock дабы не видеть баннеров.

                                                        И многое другое на www.thin.kiev.ua

                                                        1 Reply Last reply Reply Quote 0
                                                        • K
                                                          KeHTok last edited by

                                                          локальный адрес присвоенный pfsense являектся шлюзом. добавил правило как в инструкции. ничего не изменилось. по доменному имени по прежнему блочит а по ай который привязан к доменному имени кидает на веб морду pfsense. :-[

                                                          1 Reply Last reply Reply Quote 0
                                                          • K
                                                            KeHTok last edited by

                                                            кстати у меня стоит сервис squid. он не может блочить?

                                                            1 Reply Last reply Reply Quote 0
                                                            • werter
                                                              werter last edited by

                                                              1.

                                                              наша сеть это подсеть. Сервер днс я так понимаю есть в головное сети и он раздает нам днс. 192.168.2.3  192.168.7.2

                                                              Настроить А-запись на этих DNS.

                                                              2. Или использовать файл hosts (Windows) на ваших раб. станциях.

                                                              1 Reply Last reply Reply Quote 0
                                                              • K
                                                                KeHTok last edited by

                                                                через hosts норм робит. а по поводу записей А можно поподробнее?

                                                                1 Reply Last reply Reply Quote 0
                                                                • W
                                                                  WY6EPT last edited by

                                                                  как вариант использовать NAT reflection, тогда он будет кидать на WAN и с него уже по правилу NAT на DMZ сервер.
                                                                  но это костыль, попросите вышестоящих админов прописать внутреннюю зону

                                                                  1 Reply Last reply Reply Quote 0
                                                                  • First post
                                                                    Last post