Problema Regla NAT(Solucionado)
-
Saludos estimados,
Tengo una situación con la que he estado lidiando desde hace 2 dias y no logro dar con la solución, mi escenario es el siguiente
Tengo un Pfsense detras de un router mikrotik el cual me provee un enlace wan, adicionalmente tengo una interface con un enlace wan de respaldo, y la interface LAN donde se conectan todos los usuarios en resumen tengo dos enlaces WAN configurados en Failover y la interface LAN.Wan1–Mikrotik --xx.xx.1.19
Wan2 -- Wimax --xxx.xxx.xxx.136
Lan-- Private network --10.10.1.12En el PFSENSE tengo corriendo los servicios de Squid, OpenVPN y ligthsquid basicamente, instale un Grabador DVR al que deseo acceser desde internet, para ello cree una regla NAT en el mikrotik para que todo el trafico que reciba del puerto 8000 lo envíe a la ip de la interface WAN1 la regla parece estar funcionando ya que el log me indica lo siguiente :
dstnat: in:ether1-gateway out:(none), src-mac cc:e1:7f:71:ad:4a, proto TCP (SYN), 66.240.174.69:47542->xxx.xxx.105.91:8000, len 52
Cuando hago pruebas para verificar que el puerto este abierto, el puerto dice estar Filtered
Pensando que el PFSENSE me estaba bloqueando el trafico entrante de ese puerto hice una regla NAT port forward donde le indico :
WAN1 TCP WAN1 address 8000 LAN address 8000 Grabador 8000 Acceso al grabador
Sin embargo no puedo llegar al puerto desde internet, si hago una captura de paquetes obtengo el resultado :
10:09:05.959569 IP 66.240.174.69.35573 > xx.xx.1.19.8000: tcp 0
Segun interpreto si estan llegando los paquetes al PFSENSE desde el mikrotik pero este los esta filtrando no esta haciendo el port forward al puerto 8000 de mi ip privada
En este punto el puerto sigue estando filtered
Host is up.
PORT STATE SERVICE
8000/tcp filtered http-alt
Por favor alguien me puede dar una pista de que estoy haciendo mal, tal vez es un tema muy común pero estoy dando mis primeros pasos en Pfsense
Saludos
-
Buen día amigo
Si la red entre PFsense y Mikrotik es privada, en la interfaz WAN de PFSense deberás deshabilitar Block private networks and loopback addresses, con eso ya debería funcionar, además desde afuera con un telnet al peurto puedes probar si funciona el NAT Port Forward
Saludos
-
Gracias Aleximper, te comento que ya tengo desmarcada la opcion de block private networks en mi interface wan ya que efectivamente es privada.
Sigo sin entender porque no funciona, se me olvidó mencionar que tengo squid en modo transparente, pero es algo que no deveria afectar el redireccionamiento de los puertos.
 -
En las capturas de pantalla adjuntas se pueden ver las reglas que he creado para que les sea mas fácil darme una mano.
 -
Saludos Amigos,
He conseguido que la regla NAT me funcione, el problema lo tenia en la regla NAT Port Forward, en el Source habia indicado WANADDRESS, les va a parecer algo muy simple, la verdad es que mientras estaba haciendo las capturas para subirlas al foro recordé que la documentación de PFSENSE sobre las reglas nat dice que el source usualmente es any. Cambiando este parámetro logre que todo funcionara. Si alguno que como yo esta iniciando tiene un problema similar, debe tener en cuenta ese detalle.
Saludos,
-
Amigos nuevamente encontre un problema, luego de haber logrado exitosamente conectarme al DVR por el puerto 1024, habilite una regla identica para abrir el puerto 8000, sin embargo cuando intento conectarme por el puerto 8000 la conexion no se establece queda en este estado:
FOWAN tcp 10.10.1.99:8000 (10.10.1.19:8000) <- 201.191.198.192:24900 TIME_WAIT:TIME_WAIT 7 / 5 468 B / 396 B
Lo que no comprendo es que la conexión al puerto 1024 funciona perfectamente, alguno que me pueda orientar.
Adjunto captura de las reglas.Saludos
