Ciao,
è una settimana che ci sbatto la testa senza successo e sono un po' demoralizzato.
Ho un dominio, un ip fisso, opnsense e una macchina con su wordpress.
1) Il dominio l'ho fatto puntare all'ip fisso.
2) opnsense ha come IP sulla wan l' ip fisso e un DHCP sulla lan
3) la macchina con wordpress prende da dhcp l'ip che gli assegna sempre lo stesso ip (reservation).
Ho configurato 2 regole di port forward del firewall che hanno come sorgente la wan e destinazione la macchina con wordpress rispettivamente con le porte 80 e 443 che puntano entrambe alla porta 8089 (server web porta 80 ridiretta)
Prendo il cellulare e metto il mio dominio e vedo pagina bianca.
dove sbaglio?
grazie
Saul
Ciao ilsaul,
dovresti dare qualche info in più.
Hai provato a fare un ping o un traceroute al tuo dominio per verificare che punti all'IP giusto e che sia raggiungibile?
Hai aperto le porte (port forwarding) anche sull'eventuale modem? Come si collega opnsense a Internet?
Ciao,
altra verifica... se c'è un solo IP fisso in WAN le porte utilizzate dal firewall per la sua amministrazione sono diverse dalla 80 e 443?
P.S.: Le 2 regole di "NAT:Port Forward" hanno Source/Interface WAN, Destination/Address "WAN address" e NAT/IP l'IP del server wordpress.
Ciao,
allora in System: Settings: Administration:
- Protocol: Https
- HTTP Redirect [X] Disable web GUI redirect rule
- TCP port: 443
- Listen Interfaces: LAN
Firewall - Port Forward
- Wan Interface (Sorgente:* Porta:*) -> (Destination: Wan Address Porta: 8081) : (Redirect: Server Address Port: 80)
- Wan Interface (Sorgente:* Porta:*) -> (Destination: Wan Address Porta: 80) : (Redirect: Server Address Port: 80)
- Wan Interface (Sorgente:* Porta:*) -> (Destination: Wan Address Porta: 443) : (Redirect: Server Address Port: 443)
Il ping punta all'ip corretto
Ho una connessione in fibra, quindi niente modem.
Non arrivo con nessun metodo:
- http://dominio:8081/
- htto://dominio/
bye
QuoteHo una connessione in fibra, quindi niente modem.
Cosa significa? hai una interfaccia in fibra sul suo firewall? Stiamo parlando di una configurazione casa/ufficio o cosa?
Di solito il provider ti mette la fibra in casa e la collega a uno scatolotto (il modem) che può fare eventualmente da router/switch via ethernet o wifi.
Non hai nulla di tutto questo?
Che altre regole hai sulla parte WAN del Firewall? guarda anche quelle che crea in automatico.
Ciao,
scusa mi sembrava ovvio ma in effetti ci sono tanti contesti.
arriva la fibra ed entra nel loro router ed esce un cavo ethernet.
in questo momento ho un disservizio non pinga più l'indirizzo pubblico, ho già aperto un ticket.
LAN TCP * * LAN address 443 * * Anti-Lockout Rule
WAN UDP * * WAN address 88 Computer1 88 Game
WAN UDP * * WAN address 500 (ISAKMP) Computer1 500 (ISAKMP) Game
WAN TCP/UDP * * WAN address 3074 Computer1 3074 Game
WAN TCP/UDP * * WAN address 3544 (Teredo) Computer1 3544 (Teredo) Game
WAN TCP/UDP * * WAN address 4500 (IPsec NAT-T) Computer1 4500 (IPsec NAT-T) Game
WAN UDP * * WAN address 4380 Computer1 4380 Game
WAN UDP * * WAN address 27000 - 27031 Computer1 27000 - 27031 Game
WAN TCP * * WAN address 27015 - 27030 Computer1 27015 - 27030 Game
WAN UDP * * WAN address 27036 Computer1 27036 Game
WAN TCP * * WAN address 27036 - 27037 Computer1 27036 - 27037 Game
WAN TCP * * WAN address 443 (HTTPS) docker 443 (HTTPS) Web 443
WAN TCP * * WAN address 80 (HTTP) docker 80 (HTTP) Site 80
WAN TCP * * WAN address 8081 docker 8089 Site 80
WAN TCP * * WAN address 8082 127.0.0.1 8080 HAProxy
WAN TCP/UDP * * WAN address 44700 - 44899 Computer1 44700 - 44899 Game2
WAN TCP * * WAN address 25 (SMTP) docker 25 (SMTP)
WAN TCP * * WAN address 465 (SMTP/S) docker 465 (SMTP/S)
WAN TCP * * WAN address 587 (SUBMISSION) docker 587 (SUBMISSION)
Alcune regole non sono ancora arrivato a capire se sono giuste, tipo quelle sulla posta.
bye
No problem :-)
Hai settato il port forwarding per le porte 80 e 443 sul modem/router del tuo provider che puntano al tuo firewall?
Dovrebbe funzionare in questo modo:
Internet --> Modem/Router (port forwarding) --> firewall (port forwarding) --> tuo Server
In alcuni modem/router puoi anche esporre completamente una macchina della tua rete interna su internet, ad esempio il firewall, per non dover preoccuparti di fare questo doppio Port forwarding....
Internet --> Modem/Router (exposed host) --> firewall (port forwarding) --> tuo Server
Un consiglio da prendere in considerazione, se vuoi fare girare un Web Server e un Mail Server, sarebbe di predisporre una DMZ accessibile da internet e dalla LAN. L'accesso dalla DMZ alla LAN invece verrà impedito completamente dal firewall. In questo modo ti proteggi da eventuali attacchi che arriverebbero da internet se il server venisse compromesso.
Dai un'occhiata qui:
- https://forum.opnsense.org/index.php?topic=429.0 (https://forum.opnsense.org/index.php?topic=429.0)
- https://www.slideshare.net/NetgateUSA/creating-a-dmz-pfsense-hangout-january-2016 (https://www.slideshare.net/NetgateUSA/creating-a-dmz-pfsense-hangout-january-2016)
- https://homenetworkguy.com/how-to/create-basic-dmz-network-opnsense/ (https://homenetworkguy.com/how-to/create-basic-dmz-network-opnsense/)
Ciao
Ciao,
il router in oggetto non dovrebbe bloccare niente. Io ho chiesto ip pubblico e mi avrebbero dovuto parlare di eventuali blocchi sulle porte.
Della DMZ ci ho già pensato sto aspettando una scheda con 3 porte di rete.
Ma prima devo riuscire a far funzionare un sito.
Non hanno ancora lavorato il mio ticket.
bye
Avere un ip pubblico non significa che tutta la tua LAN sia "esposta" su internet, ma solo, più o meno, che il provider non effettua nessun NAT al tuo modem/router a cui assegna un ip visibile su internet. Un solo ip che punta a una sola macchina...il modem/router.
Il modem/router forse non blocca nulla, ma per permetterti di avere tutti i computer che vuoi sulla LAN deve effettuare il NAT (Network Address Translation), cioè tenere traccia di quale ip privato ha richiesto il tal servizio quando ritorna la risposta da internet. Perché la risposta torna solo e sempre all' Ip pubblico che hai ottenuto dal provider.
Quindi, per arrivare al punto, se il computer della tua lan (Ip privato) invece di richiedere un servizio e aspettare una risposta questo servizio lo offre (il tuo WEB Server) il modem deve saperlo!! Perciò devi "istruire" il modem affinchè sappia che se gli arriva una richiesta di accesso dal Web alla porta 80 deve girarla alla macchina sulla LAN che questo servizio lo sta offrendo (nel tuo caso hai di mezzo il Firewall!!)
In pratica, accedi al pannello di controllo del modem/router e setta il Port Forwarding sulle porte 80 e 443 che puntino all'Ip del tuo firewall. Sul Firewall lo hai già impostato! alla fine la richiesta arriverà al tuo Server Web.
Ciao,
per quanto riguarda nat o altro ho chiesto e non ci sono blocchi sul mio indirizzo pubblico.
Per il ping ho scoperto che bisognava creare una regola nel firewall ora riesco a pingarlo.
Ma il trace non arriva al mio indirizzo pubblico finisce con tanti asterischi.
Ho riprovato da fuori a connettermi con chrome:
- http://www.mio.dominio penso che venga rediretto a https://www.mio.dominio
- http://www.mio.dominio:8081
- http://www.mio.dominio:8082
tutte le richieste vanno in timeout.
Se uso netcat (nc) da mac:
nc -v www.mio.dominio va in timeout
nc -v www.mio.dominio:8081 -> Mi risponde Apache in un indirizzo che non conosco
nc -v www.mio.dominio:8082 -> Mi risponde un altro server http senza identificarsi
Io penso che persistono problemi di routing.
Bye
Dai un´occhiata alle regole di Outbound, senza quelle non é permesso il traffico dal server in uscita.
Firewall:NAT:Outbound
Cambia Mode Automatic --> Hybrid
Interface: WAN
Protocol: Source: IP del tuo server
Source address: Single host or Nework
IP: ip LAN server
Source port: any
Destination address: any
Destination port: any
Ho trovato un post (https://forum.opnsense.org/index.php?topic=6155.0) dove parlano di un problema simile al tuo, forse aiuta
Ciao,
grazie a tutti Ho risolo questo punto cioè sono riuscito a far vedere il server su una porta specifica.
Ora ho tentato lo step successivo:
Ho installato il plugin HAProxy e Let's Encypt.
Prima di installare da fuori arrivavo sulla porta 80 di opnsense al container di docker dove è montato wordpress e tutto funzionava.
Ho messo HAproxy e dopo un bel po di tentativi sono riuscito a mettete un funzione 2 siti:
1) http://www.mio.sito
2) http://cloud.miosito
Il primo come default del public service e l'altro come rule e anche qui funzionava.
Leggendo su internet sconsigliano di mettere https direttamente su wordpress a favore della gestione del medesimo di HAProxy, quindi ho lasciato che il mio wordpress conoscesse solo l'http.
Ho messo let's Encrypt sono riuscito ad ottenere il certificato in ambiente di test e qui iniziano i primi problemi.
Senza cambiare nient'altro ho messo l'ambiente di produzione e rinviato la richiesta di certificato ma non mi sembra che il plugin rifaccia la richiesta forse perchè trova già un certificato valido.
Come capisco se il certificato è di produzione o di test?
Ma veniamo a come ho cercato di impostare il tutto.
Ho aperto 2 porte sul firewall 80 e 443 per ricevere entrambi i tipi di traffico e redirette al Haproxy per l'instradamento.
HAproxy come instradamento non è cambiato da quando andava a eccezione del public service che ho abilitato "Enable SSL offloading" e messo in Certificates il nuovo certificato di let's encrypt.
La porta 80 sembra non avere risposta dal firewall ora.
La porte 443 risponde ma wordpress mi restituisce la pagnia ma tutti i contenuti (es immagini, css e js) arrivano in http e vengono bloccati.
In wp-config.php di wordpress ha un sistema per capire dalla chiamata se è http o https e dovrebbe rispondere di conseguenza ma sembra non farlo.
Ho saltato un po' di info perchè sono tante se servono più dettagli ditemi cosa volete sapere.
bye
Quote from: ilsaul on February 09, 2021, 04:58:11 PM
Ho risolo questo punto cioè sono riuscito a far vedere il server su una porta specifica.
Ciao, come hai fatto a risolvere? Qual'era il problema?
Ciao,
diciamo che ho fatto tante di quelle prove da non essere certo quale abbia fatto la differenza, ma mi pare che:
1) Sbagliavo prova (ping e trace non sono sempre e solo gli strumenti migliori)
2) Sbagliavo strumento(netcat invece di curl)
3) Ho cambiato la rete interna passando da 192.168.3.0 a 192.168.100.0 e non avevo adeguato alcune settaggi del firewall.
bye
Ciao a tutti,
ho un dubbio su come usare opnSense.
Da fuori atterro su opnSense in https e da li vado in http sul sito finale, il mio dubbio è da dentro la rete locale come atterro sul sito?
Io ho fatto un altro reverse proxy interno con cui atterro sul sito con il nome di dominio ma in http perchè il certificato ssl è su opnSense.
Questa cosa mi genera molti problemi sul sito perchè il sito non riesce a gestire il doppio sistema di atterraggio (https e Http).
Si può gestire l'atterraggio sul sito tramite opnSense anche da dentro senza reverse proxy e in https? È il modo corretto di farlo?
grazie
Saul