Есть гипервизор (h1), на нем виртуалка vm1. На гипервизоре изначально работала одна сетевая карта, с нее сделан порт vmbr0, который пробрасывался в виртуалку vm1, всё работало. Но сейчас появился отдельный сервер (bm1) на физическо отдельной машине, эта машина имеет два сетевых интерфейса, один связан с общим коммутатором, куда подходит и первый интерфейс гипервизора, они друг друга видят. Но необходимо, чтобы bm1 связывался с vm1 через свой второй интерфейс напрямую (кросскабель). Для этого активировал на проксмоксе вторую сетевую карту, создал для нее бридж vmbr1, назначил в виртуалку vm1 второй сетевой интерфейс с vmbr1. Там своя подсеть. Но проблема в том, что vm1 не видит bm1 по этому интерфейсу, то есть пакеты через бридж vmbr1 не уходят до физически отдельного сервера, как будто не пакеты дальше гипервизора не идут. Файрвол выключил в целях тестирования даже. Сетевые карты рабочие 100%, как и патчкорд, соединяющий вторые сетевые карты гипервизора и сервера bm1. Связь между бриджами vmbr0 и vmbr1 не нужна. Нужно только чтобы виртуалка могла общаться через вторую сетевую карту с физически отдельным сервером
Ульрих: некропостинг детектед, но все же отвечу.
ssl_bump terminate blocked надо заменить на ssl_bump terminate !blocked, тогда будут блокироваться все, кроме списка blocked (переименовать список на white, чтобы красиво было)
Ульрих: а мои юзеры привыкли. Правда это чревато. Теперь в любых случаях, когда страница просто не открывается, пишут \ звонят, чтобы я разблокировал ресурс :)
хм, я где-то слышал, что у Гугла только 60 дней он работает, потом отмирает. Но я попробую, тем более что Вы дали ссылку на Гитхаб с готовыми решениями! Спасибо! А как по ощущениям, хорошо распознает?
Евгений Денисов: разработчики пока молчат.... Про https_port без intercept где-то тут на тостере я уже отписывался. В общем, судя по оф.документации, можно ssl_bump возложить на http_port директиву, указав в параметрах нужные опции, и соответственно направлять 80 и 443 порты на него.
ок, только вот Вам придется сертификаты всем юзерам ставить) иначе будет ругань в браузерах. Хотя видал на буржуйских сайтах отписки, что у людей получилось заставить браузеры не ругаться на сертификаты, при этом подменяя их на стороне Кальмара, и при этом всем не устанавливая сертификат сервера на клиентские ПК
