NAT / Port Forward pfsense 2.3.1-RELEASE-p5 não funciona
-
Olá pessoal, estou tentando liberar acesso externo a um webserver na minha DMZ (LAN) via NAT>Port Forward, porém sem sucesso, também não sei se é a maneira ideal de se fazer isso.
Nao tentei com versões anteriores do pfsense, somente a 2.3.1-RELEASE-p5Cenário:
Moden: <ip_externo>:80 -> acessa o modem
Moden: <ip_externo>:4443 -> encaminha para webadmin do pfsense (https)
Moden: <ip_externo>:8080 -> encaminha para WAN(ipvirtual) do pfsense na porta 8080pfsense (WAN) webadmin: https://172.30.100.200:4443 rede /24
pfsense (WAN) ip virtual: 172.30.100.17 rede /24pfsense (LAN): 172.30.0.11 rede /24
webserver a ser acessado (LAN): http://172.30.0.17 porta 80OPT1 E OPT2: Outros 2 links de internet, que junto com a WAN formam um load balance
OBS: A princípio o problema não é o load balance, já que direciono para o gateway da WAN na regra de firewall criada pelo NAT, também já desabilitei para testar e não funcionou.
O que pretendo fazer:
Externamente, acessar http://<ip_externo>:8080 e ser direcionado para http://172.30.0.17, webserver(LAN) porta 80O que fiz:
Primeiramente criei um ip virtual para a WAN em Firewall> Virtual IPs:
Type: IP Alias
Interface: WAN
Assress typo: Single Address
Address: 172.30.100.17 /24Configurei o modem para direcionar a porta 8080 para o ip virtual do pfsense na porta 8080
<ip_externo>:8080 -> 172.30.100.17:8080Fiz o NAT> Port Forward, direcionando 172.30.100.17:8080 (WAN) para 172.30.0.17:80 (LAN) da seguinte forma:
Interface: WAN
Protocol: TCP/UDPSource:Any
Source port: AnyDestinatio: 172.30.100.17 (ip virtual)
Destination port:8080 8080Redirect target ip: 172.30.0.17
Redirect target port: 80 (aqui cabe uma pergunta, posso direcionar da 8080 para a 80??)Nat reflection: Use System default (pure nat)
Filter rule associatio: Create new associate ruleNa regra de firewall criada na WAN, posicionei como a primeira da fila e alterei o gateway para o gateway da WAN
Resumindo, o fluxo deveria ser este:
<ip_externo>:8080(modem) -> 172.30.100.17:8080(WAN ip virtual) -> 172.30.0.17:80 (LAN - webserver)Resultado: Não funcionou. Timeout.
Considerações:
-Consigo acessar meu moden através do ip externo;-O modem redireciona a porta 4443 para o webadmin do pfsense;
-Consigo acessar o webadmin do pfsense através do https://<ip_externo>:4443
(ou seja, o problema não parece ser o modem)-o modem redireciona a porta 8080 para o ip virtual da WAN 172.30.100.17:8080
-deveria acessa, após fazer o port forward, o webserver digitando https://<ip_externo>:8080
(tentei usar outras portas, 10000, 10017, etc…sem sucesso)-tentei usar o ip físico da WAN ao invés de ip virtual, também sem socesso.
Configurações:
Firewall>NAT>Outbound
Mode: Automatic outbound NATSystem>Advanced>Admin Access
Protocol: HTTPS
TCP Port: 4443
WeGUI redirect: Marcado (desabilitado)
DNS Rebind Check: Marcado
Browser HTTP_REFERE: Marcado (desabilitado)System>Advanced>Firewall NAT
NAT Reflectionmode: Pure NAT
Enable NAT Reflection 1:1 NAT: Marcado
Enable automatic outbound NAT: MarcadoInformações adicionais:
Ao ler o log do firewall
Ao fazer uma captura de pacotes na interface WAN no ip 172.30.100.17 (WAN ip virtual) durante uma tentativa de acesso externo obtenho os seguintes resultados:11:32:20.841962 ARP, Request who-has 172.30.100.17 tell 172.30.100.1, length 46
11:32:20.841974 ARP, Reply 172.30.100.17 is-at <mac_da_wan>, length 28
11:32:20.842573 IP <ip_de_internet>.42002 > 172.30.100.17.8080: tcp 0
11:32:20.860809 IP <ip_de_internet>.10073 > 172.30.100.17.8080: tcp 0
11:32:21.080997 IP <ip_de_internet>.10070 > 172.30.100.17.8080: tcp 0
11:32:21.801204 IP <ip_de_internet>.42002 > 172.30.100.17.8080: tcp 0
<repete até="" timeout="">Ou seja, a requisição está batendo na WAN (ip virtual)Ao repetir a captura na interface LAN com o ip do webserver não recebo nenhum pacote, ou seja, não está chegando no webserver.
Peço desculpas pelo tamanho do post, mas tentei detalhar o máximo possível.
Grato</repete></ip_de_internet></ip_de_internet></ip_de_internet></ip_de_internet></mac_da_wan></ip_externo></ip_externo></ip_externo></ip_externo></ip_externo></ip_externo></ip_externo></ip_externo> -
Colocar o IP da WAN do pfSense em DMZ no Modem não seria melhor?
-
Colocar o IP da WAN do pfSense em DMZ no Modem não seria melhor?
Olá Tomas, obrigado por responder
Fiz o que você sugeriu, alterei a regra de NAT para apontar para o ip WAN físico e coloquei o ip WAN do pfsense na DMZ do modem, porém sem sucesso, continua do mesmo jeito.
Pra garantir que não era o modem eu coloquei um hub entre o modem e o pfsense, conectei um notebook e tentei fazer o acesso, mesma coisa, sem sucesso, na captura de pacotes sempre dá a mesma reposta (TCP 0).
Segue print das regras no meu pfsense, teria mais alguma ideia?
LINK100 = WAN
-
Precisaria ver mais de "perto"!
-
Bom dia !
Qual sua operadora? Pergunto isso porque se for Oi Velox ADSL as portas 80 e 443 são bloqueadas embora eles afirmem que não.
Att,
-
Bom dia !
Qual sua operadora? Pergunto isso porque se for Oi Velox ADSL as portas 80 e 443 são bloqueadas embora eles afirmem que não.
Att,
Bom dia andrefreire
A operadora é Telefônica (VIVO), nesse caso não creio ser a operadora, pois consigo acessar a interface do modem (80) e o webadmin do pfsense (4443)
Mas obrigado pela atenção -
Up!
Alguém? -
A primeira coisa que eu faria eu botaria o modem em modo bridge e autenticaria com a operadora diretamente no pfsense, isso já removeria uma camada de encaminhando que você está fazendo, a partir daí teria diversas sugestões.
Abs
-
A primeira coisa que eu faria eu botaria o modem em modo bridge e autenticaria com a operadora diretamente no pfsense, isso já removeria uma camada de encaminhando que você está fazendo, a partir daí teria diversas sugestões.
Abs
Boa idéia felipesilvafernandes, vou tentar e posto o resultado
-
E ai cara resolveu seu problema ?