NAT / Port Forward pfsense 2.3.1-RELEASE-p5 não funciona

xlipesousa

Olá pessoal, estou tentando liberar acesso externo a um webserver na minha DMZ (LAN) via NAT>Port Forward, porém sem sucesso, também não sei se é a maneira ideal de se fazer isso.
Nao tentei com versões anteriores do pfsense, somente a 2.3.1-RELEASE-p5

Cenário:
Moden: <ip_externo>:80 -> acessa o modem
Moden: <ip_externo>:4443 -> encaminha para webadmin do pfsense (https)
Moden: <ip_externo>:8080 -> encaminha para WAN(ipvirtual) do pfsense na porta 8080

pfsense (WAN) webadmin: https://172.30.100.200:4443 rede /24
pfsense (WAN) ip virtual: 172.30.100.17 rede /24

pfsense (LAN): 172.30.0.11  rede /24
webserver a ser acessado (LAN): http://172.30.0.17 porta 80

OPT1 E OPT2: Outros 2 links de internet, que junto com a WAN formam um load balance

OBS: A princípio o problema não é o load balance, já que direciono para o gateway da WAN na regra de firewall criada pelo NAT, também já desabilitei para testar e não funcionou.

O que pretendo fazer:
Externamente, acessar http://<ip_externo>:8080 e ser direcionado para http://172.30.0.17, webserver(LAN) porta 80

O que fiz:

Primeiramente criei um ip virtual para a WAN em Firewall> Virtual IPs:
Type:  IP Alias
Interface: WAN
Assress typo: Single Address
Address: 172.30.100.17 /24

Configurei o modem para direcionar a porta 8080 para o ip virtual do pfsense na porta 8080
<ip_externo>:8080 -> 172.30.100.17:8080

Fiz o NAT> Port Forward, direcionando 172.30.100.17:8080 (WAN) para 172.30.0.17:80 (LAN) da seguinte forma:
Interface: WAN
Protocol: TCP/UDP

Source:Any
Source port: Any

Destinatio: 172.30.100.17 (ip virtual)
Destination port:8080  8080

Redirect target ip: 172.30.0.17
Redirect target port: 80  (aqui cabe uma pergunta, posso direcionar da 8080 para a 80??)

Nat reflection: Use System default (pure nat)
Filter rule associatio: Create new associate rule

Na regra de firewall criada na WAN, posicionei como a primeira da fila e alterei o gateway para o gateway da WAN

Resumindo, o fluxo deveria ser este:
<ip_externo>:8080(modem) -> 172.30.100.17:8080(WAN ip virtual) -> 172.30.0.17:80 (LAN - webserver)

Resultado: Não funcionou. Timeout.

Considerações:
-Consigo acessar meu moden através do ip externo;

-O modem redireciona a porta 4443 para o webadmin do pfsense;
-Consigo acessar o webadmin do pfsense através do https://<ip_externo>:4443
(ou seja, o problema não parece ser o modem)

-o modem redireciona a porta 8080 para o ip virtual da WAN 172.30.100.17:8080
-deveria acessa, após fazer o port forward, o webserver digitando https://<ip_externo>:8080
(tentei usar outras portas, 10000, 10017, etc…sem sucesso)

-tentei usar o ip físico da WAN ao invés de ip virtual, também sem socesso.

Configurações:
Firewall>NAT>Outbound
Mode: Automatic outbound NAT

System>Advanced>Admin Access
Protocol: HTTPS
TCP Port: 4443
WeGUI redirect: Marcado (desabilitado)
DNS Rebind Check: Marcado
Browser HTTP_REFERE: Marcado (desabilitado)

System>Advanced>Firewall NAT
NAT Reflectionmode: Pure NAT
Enable NAT Reflection 1:1 NAT: Marcado
Enable automatic outbound NAT: Marcado

Informações adicionais:
Ao ler o log do firewall
Ao fazer uma captura de pacotes na interface WAN no ip 172.30.100.17 (WAN ip virtual) durante uma tentativa de acesso externo obtenho os seguintes resultados:

11:32:20.841962 ARP, Request who-has 172.30.100.17 tell 172.30.100.1, length 46
11:32:20.841974 ARP, Reply 172.30.100.17 is-at <mac_da_wan>, length 28
11:32:20.842573 IP <ip_de_internet>.42002 > 172.30.100.17.8080: tcp 0
11:32:20.860809 IP <ip_de_internet>.10073 > 172.30.100.17.8080: tcp 0
11:32:21.080997 IP <ip_de_internet>.10070 > 172.30.100.17.8080: tcp 0
11:32:21.801204 IP <ip_de_internet>.42002 > 172.30.100.17.8080: tcp 0
<repete até="" timeout="">Ou seja, a requisição está batendo na WAN (ip virtual)

Ao repetir a captura na interface LAN com o ip do webserver não recebo nenhum pacote, ou seja, não está chegando no webserver.

Peço desculpas pelo tamanho do post, mas tentei detalhar o máximo possível.
Grato</repete></ip_de_internet></ip_de_internet></ip_de_internet></ip_de_internet></mac_da_wan></ip_externo></ip_externo></ip_externo></ip_externo></ip_externo></ip_externo></ip_externo></ip_externo>

tomaswaldow

Colocar o IP da WAN do pfSense em DMZ no Modem não seria melhor?

xlipesousa

@Tomas:

Colocar o IP da WAN do pfSense em DMZ no Modem não seria melhor?

Olá Tomas, obrigado por responder

Fiz o que você sugeriu, alterei a regra de NAT para apontar para o ip WAN físico e coloquei o ip WAN do pfsense na DMZ do modem, porém sem sucesso, continua do mesmo jeito.

Pra garantir que não era o modem eu coloquei um hub entre o modem e o pfsense, conectei um notebook e tentei fazer o acesso, mesma coisa, sem sucesso, na captura de pacotes sempre dá a mesma reposta (TCP 0).

Segue print das regras no meu pfsense, teria mais alguma ideia?
LINK100 = WAN

tomaswaldow

Precisaria ver mais de "perto"!

andrefreire

Bom dia !

Qual sua operadora? Pergunto isso porque se for Oi Velox ADSL as portas 80 e 443 são bloqueadas embora eles afirmem que não.

Att,

xlipesousa

@andrefreire:

Bom dia !

Qual sua operadora? Pergunto isso porque se for Oi Velox ADSL as portas 80 e 443 são bloqueadas embora eles afirmem que não.

Att,

Bom dia andrefreire
A operadora é Telefônica (VIVO),  nesse caso não creio ser a operadora, pois consigo acessar a interface do modem (80) e o webadmin do pfsense (4443)
Mas obrigado pela atenção

xlipesousa

Up!
Alguém?

felipesilvafernandes

A primeira coisa que eu faria eu botaria o modem em modo bridge e autenticaria com a operadora diretamente no pfsense, isso já removeria uma camada de encaminhando que você está fazendo, a partir daí teria diversas sugestões.

Abs

xlipesousa

@felipesilvafernandes:

A primeira coisa que eu faria eu botaria o modem em modo bridge e autenticaria com a operadora diretamente no pfsense, isso já removeria uma camada de encaminhando que você está fazendo, a partir daí teria diversas sugestões.

Abs

Boa idéia felipesilvafernandes, vou tentar e posto o resultado

fgsou

E ai cara resolveu  seu problema ?