Regras para liberar acesso ao receptor.ans.gov.br
-
Não estou conseguindo configurar o PfSense para liberar as seguintes conexões que a ANS exige.
1.O PTA dispara uma conexão TCP em direção ao endereço receptor.ans.gov.br na porta 80.
Neste etapa, o PTA realiza operações diversas de autenticação e obtém a lista de arquivos que estão disponíveis para download pela operadora.2.Em seguida, o PTA dispara uma conexão TCP em direção ao endereço receptor.ans.gov.br na porta 21.
Na verdade, neste momento, o PTA dispara uma conexão FTP (nível aplicação) sobre TCP (transporte). No entanto, por questões de segurança, e para atender aos requisitos funcionais desta operação, o protocolo FTP foi modificado. Os comandos são criptografados pelo PTA e traduzidos pelo servidor da ANS.3.Por fim, para o envio efetivo dos dados, o SERVIDOR DA ANS dispara uma conexão em direção ao endereço da operadora na porta 20.001.
Note que este passo é diferente dos outros. Neste ponto quem dispara a conexão é o servidor da ANS e não o PTA, o sentido de conexão é inverso. É preciso configurar os roteadores de sua rede para transferir as conexões da porta 20.001 para a rede interna. Se você utiliza proxy com suporte a FTP, então pode ser que o seu roteador já transfira estas conexões para o proxy.
Imagem no link.
-
Pesquisou antes de postar?
https://forum.pfsense.org/index.php?topic=102502.msg571747#msg571747
-
Pesquisei, porem sem respostas. Nestes tópicos tbm está sem respostas.
-
Mas eu que respondi. Seguiu o que fala no manual em pdf?
-
Eu tentei e não consegui. Por acaso vc tem as regras criadas ainda.. se tiver como mandar um print certinho para ver como fica..
Aqui eu tenho 4 link's em balanceamento. -
UP
-
Bom dia!
Também estou com o mesmo problema. Fiz tudo o que diz o manual e não funciona.
O problema ocorre que a conexão do servidor da ANS na porta 20001 não retornar para o firewall. Abri a porta, fiz o teste as configurações estão corretas mas não recebe o retorno.Fiz um teste no escritório com um modem ADSL sem o pfsense e acontece a mesma coisa a conexão de retorno na porta 20001 não chega de volta no firewall.
Deve ter um erro no programa da ANS para determinar o ip público que esta conectado, perdendo a conexão.
Não achei a solução, pois a conexão não retorna da ANS como diz no manual.
-
Em 1 modem ADSL eu consegue fazer simplesmente liberando a porta 80.
E já no PfSense não consigo liberar ele..
Print do modem. -
Eu tentei e não consegui. Por acaso vc tem as regras criadas ainda.. se tiver como mandar um print certinho para ver como fica..
Aqui eu tenho 4 link's em balanceamento.O problema pode ser o balanceamento, escolhe um link para fazer a regra de saída.
-
Foi o que pensei tbm, fiz vários teste e nada.
-
Na tela para criar a regra eu gostaria de saber como ficaria esta regra.
-
em Advanced Options, Gateway informa a saída.
-
Ja fiz e refiz essas 3 regras de todo jeito..
O PTA acessa porem não baixa os arquivos. -
Eu ja tentei de tudo.
Conforme manual o sistema usa uma conexão nao porta 80 e 21 com destino o servidor da ANS (receptor.ans.gov.br) e este servidor dispara uma conexão na porta 20001 com destino ao computador do cliente. No meu caso tanto a conexão na porta 80 quando na 21 são estabelecidas e o programa e o PTA abre a porta 20001 no computador, mas a conexão do servidor não retorna, nem chega no firewall.Pelo que analisei o erro esta no PTA para determinar o ip válido para o servidor da ANS retornar a conexão.
O problema é que a ANS não da suporte nenhum para o programa (como todos os outros programas do governo). -
É isto ae mesmo também minha dúvida.
Bom eu para descobrir o ip do receptor.ans.gov.br eu fiz o ping que retornou o ip 187.125.91.6
Então criei a regra como o servidor sendo este ip, já fiz também sem o ip e nada.. -
Se alguém conseguiu fazer este PTA funcionar, posta ai as regras, pois ja fiz de tudo e nada de receber os arquivos a conexão com destino ao meu ip pela porta 20001 nao retorna.
-
Nossa cara eu estava sofrendo com esse programa recentemente! Graças a ajuda do pessoal aqui consegui resolver no pfSense 2.2.6.
Basta manter o NAT do que chegar na WAN na porta 20001 para a maquina que esta com o PTA.
E para resolver o problema precisei instalar o pacote "FTP Client Proxy" e habilitar que funciona, não me pergunte exatamente o porque pois eu não sei explicar, mais que funciona funciona.
Faz o teste e me fala se deu certo. -
Nossa cara eu estava sofrendo com esse programa recentemente! Graças a ajuda do pessoal aqui consegui resolver no pfSense 2.2.6.
Basta manter o NAT do que chegar na WAN na porta 20001 para a maquina que esta com o PTA.
E para resolver o problema precisei instalar o pacote "FTP Client Proxy" e habilitar que funciona, não me pergunte exatamente o porque pois eu não sei explicar, mais que funciona funciona.
Faz o teste e me fala se deu certo.Leo, muito obrigado. Deu certo.
-
Leo e Reinando, alguma outra configuração?
Aqui na versão 2.3 começou a acontecer isso também!Instalei o FTP Client Proxy, habilitei e selecionei a rede LAN, mas o problema continua… ideias?
-
João não testei a versão 2.3 ainda, então nao sei se é necessario algo a mais, mande um print do seu NAT para vermos se tem alguma coisa incorreta, as vezes pode ser apenas o direcionamento.
-
Leonardo,
Minha NAT:
Alias ips_pta:
Alias Portas_PTA:
-
A regra de NAT seria somente para a porta 20001, as outras são somente para saída.
Veja que na regra do Dest. Adress está errado, não é IP interno, mas sim sua WAN,
e no NAT IP tem que apontar para o IP interno e não para um Alias. -
Olás Tomas, obrigado por responder!
Fiz essas mudanças mas o mesmo erro ocorre..
Alguma outra ideia ?
-
Não é NET Address, é WAN Address.
-
Tomas, é que uma das minhas interfaces aqui tem o nome de NET. Aí vem o NET Address…
-
Tomas, é que uma das minhas interfaces aqui tem o nome de NET. Aí vem o NET Address…
Certo, mas a saída é por esse link?
-
Tomas, é que uma das minhas interfaces aqui tem o nome de NET. Aí vem o NET Address…
João como esta a configuração do seu FTP Client Proxy? se tiver mais de um LINK e o seu link de saída for diferente do link default tem que colocar esta configuração no FTP Client Proxy.
-
Em teoria sua regra depois das modificações sugeridas pelo Tomas está correta.
Só a nível de teste, em source addrs, tente tirar o alias e colocar *
Se você tiver mais de um link de internet, a maquina que esta com o programa da ANS tem que sair pelo gateway da NET no caso, para ele voltar no mesmo link. -
Olás Tomas, obrigado por responder!
Fiz essas mudanças mas o mesmo erro ocorre..
Alguma outra ideia ?
Deixe qualquer (any) para source port, pois geralmente a porta de orgiem (source port) é dinâmica. O que importa é a porta de destino (dest port)
-
Pessoal, desculpem a demora! Apenas voltei hoje!
Misteriosamente a regra voltou a funcionar do nada!Acredito que mais uma vez foi a ANS que estava com algum problema.
-
Nossa cara eu estava sofrendo com esse programa recentemente! Graças a ajuda do pessoal aqui consegui resolver no pfSense 2.2.6.
Basta manter o NAT do que chegar na WAN na porta 20001 para a maquina que esta com o PTA.
E para resolver o problema precisei instalar o pacote "FTP Client Proxy" e habilitar que funciona, não me pergunte exatamente o porque pois eu não sei explicar, mais que funciona funciona.
Faz o teste e me fala se deu certo.Leo, muito obrigado. Deu certo.
Reinaldo, manda um print como ficou a regra!
-
Segue print do NAT para o PTA
![NAT PTA.png](/public/imported_attachments/1/NAT PTA.png)
![NAT PTA.png_thumb](/public/imported_attachments/1/NAT PTA.png_thumb) -
Obrigado, Vou fazer aqui.
-
É ainda deu erro dos 15 segundos aguardando a resposta do servidor.
Além desta regras vc fez mais alguma coisa ? -
Instalei o FTP Client Proxy
habilitei ele para a Lan que não deu certo baixar os arquivos… e habilitei para a mesma Wan que esta na NAT, e também não funcionou. -
Posta o print do FTP Client proxy
-
Tenho 4 WAN fazendo balanceamento, ai selecionei todos eles em "local interface"
-
Local Interface é sua rede local (Selecione sua Interface LAN)
Source Adress Coloque seu IP Publico em qual esta utilizando a regra do PTA. Se ficar em branco o sistema vai usar a WAN Default em Routing, para funcionar tem que ter o NAT para a WAN que vai utilizar.No meu caso como criei a Regra para um ip diferente do Default eu coloquei o ip em Source Adress
-
Fiz este procedimento e mesmo assim continua sem baixar, atingindo os 15 segundos.
-
Tomas, é que uma das minhas interfaces aqui tem o nome de NET. Aí vem o NET Address…
Tem que ver se está saindo e voltando pelo mesmo link.
Teria que ver testar pessoalmente a aplicação, nunca usei ela.