Проблема с доступом к приложениям за роутером

0

1

Есть esxi тачка, на ней поднята ВМ в роли роутера с 2мя интерфейсам: один WAN с статичным белым IP, второй локальный. Вторая ВМ с одним локал интерфейсом, на ней крутится вэб приложение. С роутера на вторую вм порты проброшены, из вне вэб приложение доступно. Доступ по доменному имени. Поднял третью ВМ, роль терминального сервера. Из под этой ВМ доступа к вэб приложению нет. В логах вэб приложения тишина в это время. Где грабля? С этой ВМ днс имя резолвится, IP правильный. tcpdump с локального интерфейса роутера в момент запроса

15:57:02.363442 IP 192.168.1.8.54122 > 192.168.1.1.https: Flags [SEW], seq 163423042, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
15:57:02.363508 IP 192.168.1.1.https > 192.168.1.8.54122: Flags [R.], seq 0, ack 163423043, win 0, length 0
15:57:02.363566 IP 192.168.1.8.54123 > 192.168.1.1.https: Flags [SEW], seq 570484814, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
15:57:02.363592 IP 192.168.1.1.https > 192.168.1.8.54123: Flags [R.], seq 0, ack 570484815, win 0, length 0
15:57:02.613794 IP 192.168.1.8.54124 > 192.168.1.1.https: Flags [SEW], seq 3202065249, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
15:57:02.613846 IP 192.168.1.1.https > 192.168.1.8.54124: Flags [R.], seq 0, ack 3202065250, win 0, length 0
15:57:02.862919 IP 192.168.1.8.54122 > 192.168.1.1.https: Flags [S], seq 163423042, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
15:57:02.862971 IP 192.168.1.1.https > 192.168.1.8.54122: Flags [R.], seq 0, ack 1, win 0, length 0
15:57:02.863002 IP 192.168.1.8.54123 > 192.168.1.1.https: Flags [S], seq 570484814, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
15:57:02.863019 IP 192.168.1.1.https > 192.168.1.8.54123: Flags [R.], seq 0, ack 1, win 0, length 0
15:57:03.104906 IP 192.168.1.8.54124 > 192.168.1.1.https: Flags [S], seq 3202065249, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
15:57:03.104955 IP 192.168.1.1.https > 192.168.1.8.54124: Flags [R.], seq 0, ack 1, win 0, length 0
15:57:03.355941 IP 192.168.1.8.54122 > 192.168.1.1.https: Flags [S], seq 163423042, win 8192, options [mss 1460,nop,nop,sackOK], length 0
15:57:03.355999 IP 192.168.1.1.https > 192.168.1.8.54122: Flags [R.], seq 0, ack 1, win 0, length 0
15:57:03.361960 IP 192.168.1.8.54123 > 192.168.1.1.https: Flags [S], seq 570484814, win 8192, options [mss 1460,nop,nop,sackOK], length 0
15:57:03.362020 IP 192.168.1.1.https > 192.168.1.8.54123: Flags [R.], seq 0, ack 1, win 0, length 0
15:57:03.605808 IP 192.168.1.8.54124 > 192.168.1.1.https: Flags [S], seq 3202065249, win 8192, options [mss 1460,nop,nop,sackOK], length 0
15:57:03.605871 IP 192.168.1.1.https > 192.168.1.8.54124: Flags [R.], seq 0, ack 1, win 0, length 0

На WAN тишина в это время. Подозреваю, что косяк в iptables

Ссылка

←	Собственная сеть с доступом через несколько провайдеров, балансировкой и отказоустойчивостью

Теряется маршрут к OVPN-серверу после разрыва интернет-подключения

→

Это не косяк, роутер знает адрес WAN, и трафик на этот адрес не выйдет наружу. Так что нужен доступ изнутри.

anonymous
(27.10.21 18:30:33 MSK)

Ответ на: комментарий от anonymous 27.10.21 18:30:33 MSK

Как это реализовать? Там сертификат ssl, он привязан к внешнему адресу. Делать какой то редирект в iptables?

achilles_85 ★
(27.10.21 19:30:06 MSK) автор топика

Ответ на: комментарий от achilles_85 27.10.21 19:30:06 MSK

Сертификат привязывается к домену, а не к адресу. По идее, всё должно работать и так. ping с третьей VM до той, что с приложением, доходит?

anonymous
(27.10.21 20:11:49 MSK)

Ответ на: комментарий от anonymous 27.10.21 20:11:49 MSK

Пинг есть, по внутренней сетке. На роутере крутится dnsmasq, если через него сказать ходить на доменное имя по внутреннему адресу, то это решит проблему? Либо в файле hosts на стороне вм

achilles_85 ★
(28.10.21 08:05:42 MSK) автор топика
Последнее исправление: achilles_85 28.10.21 08:06:39 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от anonymous 27.10.21 20:11:49 MSK

Спасибо за наводку. В hosts на стороне клиента указал, чтоб ходил на внутренний адрес, все заработало.

achilles_85 ★
(28.10.21 08:44:18 MSK) автор топика

Ответ на: комментарий от achilles_85 28.10.21 08:44:18 MSK

Ну так можно, да. Я сейчас у себя проверил (похожая схема с пробросом портов на реверс-прокси), и оно тоже не работает так, как, мне казалось, должно. Видимо, можно подкрутить DNAT, чтобы оно работало и для внутренних клиентов, но я не совсем понял, как именно :) По крайней мере, просто убрать ограничение по входящим интерфейсам мало.

anonymous
(28.10.21 10:24:53 MSK)

Ссылка

https://en.wikipedia.org/wiki/Hairpinning

Дальше уже смотреть документацию к своему роутеру.

anonymous
(05.11.21 04:36:46 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Собственная сеть с доступом через несколько провайдеров, балансировкой и отказоустойчивостью

Admin

Теряется маршрут к OVPN-серверу после разрыва интернет-подключения

→

Похожие темы