Problema ao criar NAT de entrada com 2 WANs e 1 LAN

lucio

Fiz algumas melhorias e modificações conforme recomendado.

O nat de entrada continua só funcionando em uma porta wan.

Rotas

Obrigado!

marcelloc

Marque também o use stick connections.

Acho que está na hora de ir a console e usar o tcpdump.

lucio

tcpdump host 10.61.2.13

Conectei em um 3g e tentei acessar o MS RDP na interface BRT e na GVT, so consegui conexão pelo link GVT. Tcpdump coletado no momento da conexão.
https://docs.google.com/open?id=0B6i3_HvK3xxoX0hXZWt4RWhuWU0

rodei outro tcpdump nas placas el1(GVT) e el2 (BRT) tem muita coisa, vou dar uma limpada e depois coloco aqui.

marcelloc

Lucio,

Seu tcpdump só esta em uma interface (10.61.2.x) e pelo que ela mostra, além do ts funcionando, tem trafego netbios nela  :o
10.61.2 é lan ou wan?

att,
Marcello Coutinho

lucio

Rodei o tcpdump para o host que recebe o nat, está na interface LAN. vou rodar o tcpdump para a interface wan e postar, o problema é que fica muito extenso.
Assim que filtrar aqui o conteudo retornarei o post.

obs.
Quando rodo o netstar -r ele informa  default gateway 192.168.2.126 (ip do router GVT)

Grato pela paciencia!!!

marcelloc

tcpdump -ni interface_wan port 3389

Desta forma você só filtra acessos wan à porta 3389.

lucio

Quando conecto pela le1 que é da GVT "default gateway 192.168.2.126 (ip do router GVT)"

tcpdump no momento da conexão (ip 192.168.2.10 é o da le1)

11:48:17.196847 IP ip-187-119-165-58.user.vivozap.com.br.46437 > 192.168.2.20.10000: Flags [P.], ack 1, win 229, options [nop,nop,TS val 536248 ecr 0], length 51
11:48:17.197269 IP 192.168.2.20.10000 > ip-187-119-165-58.user.vivozap.com.br.46437: Flags [P.], ack 52, win 65484, options [nop,nop,TS val 1784352 ecr 536248], length 19

No tcpdump da le2 (ligado ao router BRT-OI) não aparece nada na porta 10000 e nem na porta 3389

Quando coloco o default gateway 192.168.1.254 (ip do rourer BRT-OI) Funciona

12:06:51.202178 IP 187.119.165.58.54157 > 192.168.1.50.10000: Flags ~~, seq 4143754230, win 14600, options [mss 1452,sackOK,TS val 567937 ecr 0,nop,wscale 6], length 0
12:06:51.202551 IP 192.168.1.50.10000 > 187.119.165.58.54157: Flags [S.], seq 2401068904, ack 4143754231, win 16384, options [mss 1460,nop,wscale 0,nop,nop,TS val 0 e

Voltei e removi o default gateway 192.168.1.254 e verificando no netstat -r volta para o 192.168.2.126~~

marcelloc

@lucio:

No tcpdump da le2 (ligado ao router BRT-OI) não aparece nada na porta 10000 e nem na porta 3389

Deveriam aparecer as solicitações na porta 10000 independente do firewall estar configurado da forma correta ou não.

Verifique os nats que você fez no modem. Sugiro passar ele para modo bridge e usar o pppoe do pfsense, desta forma o ip real fica no firewall e não no modem, evitando assim duas configurações para cada porta que você quiser publicar.

att,
Marcello Coutinho

lucio

O estranho é que quando muda do default gateway o nat funciona em uma WAN e para na outra.
Aqui a configuração é muito complicada. Peguei o ambiente já montado e troquei somente o firewall.
Tem muita coisa para melhorar! uma delas é trocar os modens e configura-los como bridge que dá mais controle sobre a rede.
Aqui a navegação está OK, o unico problema é este nat que só funciona em uma WAN. Assim que conseguir resolver este pequeno detalhe posto a solução aqui.

Muito obrigado pela ajuda.

lucio

Após uma outra verificação, notei que o nat está funcionando! mas o retorno está saindo pela placa wan errada. Segue logs no momento da tentativa de conexão.

Conecto pela WAN2, loga a antrada na wan2 e tambem loga saida pela wan1.

[2.0.1-RELEASE][root@pfsense.XXXXXXX.local]/root(17): tcpdump -ni le2 port 10000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on le2, link-type EN10MB (Ethernet), capture size 96 bytes
16:32:20.341489 IP 186.213.213.211.37265 > 192.168.1.50.10000: Flags , seq 2359020169, win 8192, options [mss 1452,nop,wscale 2,nop,nop,sackOK], length 0
16:32:23.342709 IP 186.213.213.211.37265 > 192.168.1.50.10000: Flags , seq 2359020169, win 8192, options [mss 1452,nop,wscale 2,nop,nop,sackOK], length 0
16:32:29.336151 IP 186.213.213.211.37265 > 192.168.1.50.10000: Flags , seq 2359020169, win 8192, options [mss 1452,nop,nop,sackOK], length 0
16:33:08.300681 IP 177.116.4.77.52330 > 192.168.1.50.10000: Flags , seq 2969583336, win 14600, options [mss 1452,sackOK,TS val 206158 ecr 0,nop,wscale 6], length 0
16:33:24.905626 IP 177.116.4.77.47168 > 192.168.1.50.10000: Flags , seq 3215949672, win 14600, options [mss 1452,sackOK,TS val 207783 ecr 0,nop,wscale 6], length 0
^C
5 packets captured
2987 packets received by filter
0 packets dropped by kernel
[2.0.1-RELEASE][root@pfsense.XXXXXXX.local]/root(18): tcpdump -ni le1 port 10000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on le1, link-type EN10MB (Ethernet), capture size 96 bytes
16:34:18.700632 IP 192.168.1.50.10000 > 177.116.4.77.48801: Flags [S.], seq 921551371, ack 4080999488, win 16384, options [mss 1460,nop,wscale 0,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], length 0
16:34:20.912323 IP 192.168.1.50.10000 > 177.116.4.77.48801: Flags [S.], seq 921551371, ack 4080999488, win 16384, options [mss 1460,nop,wscale 0,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], length 0
16:34:27.474526 IP 192.168.1.50.10000 > 177.116.4.77.48801: Flags [S.], seq 921551371, ack 4080999488, win 16384, options [mss 1460,nop,wscale 0,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], length 0