NAT OK, Reflection não

do1984

Olá pessoal, tudo certo?
Então, tenho um tópico no fórum principal (categoria NAT), mas os "gringos" não se interessaram muito pelo assunto, provavelmente por achar que não tentei todo o processo antes de abrir o tópico.
Antes de tudo, gostaria de falar que já que não consegui resolver esse problema, fiz um Split DNS (é a melhor solução, mas não tem algumas comodidades para nós)
Temos um website hospedado na Locaweb,e nela temos um link para um serviço que roda dentro de nossa rede local, dentro de um iframe.
Já que não temos um ip fixo aqui, utilizamos dns dinâmico para direcionar o conteúdo do portal para cá (port forwarding). Tudo funciona perfeitamente, exceto o NAT Reflection. Vamos ao cenário:
Site -> Modem -> PFSENSE WAN - PFSENSE LAN - ESTAÇÃO
Modem - 192.168.25.1
(ESXI 6.5)-pfsense 2.3.3 - lan 192.168.0.89 wan 192.168.25.43
Windows Server 2012 - DNS 192.168.0.8
Estação que roda a aplicação 192.168.0.233 porta 8084
NAT Reflection mode for port forwards (Pure Nat) (já tentei nat + proxy)
nable NAT Reflection for 1:1 NAT(o que não é o caso, mas vai que)
Enable automatic outbound NAT for Reflection.

Já mandei logar regra pro system log e não chegou lá.
Existem vários outros serviços(em outras estações) que estão no mesmo barco. (funciona NAT, não o reflection)
Consigo fazer no CentOS (hairpin), mas no pfsense não estou conseguindo.
Alguma dica pessoal? To deixando passar algo?

![Screen Shot 2017-03-09 at 15.55.05.png](/public/imported_attachments/1/Screen Shot 2017-03-09 at 15.55.05.png)
![Screen Shot 2017-03-09 at 15.55.05.png_thumb](/public/imported_attachments/1/Screen Shot 2017-03-09 at 15.55.05.png_thumb)
![Screen Shot 2017-03-09 at 15.54.48.png](/public/imported_attachments/1/Screen Shot 2017-03-09 at 15.54.48.png)
![Screen Shot 2017-03-09 at 15.54.48.png_thumb](/public/imported_attachments/1/Screen Shot 2017-03-09 at 15.54.48.png_thumb)

reinaldo.feitosa

O acesso é pelo ip ou pelo um dns?

empbilly

do1984,

Faz um diagrama desse teu cenário. Tá difícil de entender assim.

marcelloc

@do1984:

fiz um Split DNS (é a melhor solução, mas não tem algumas comodidades para nós)

Porque não? ??? Faz uma entrada no seu dns interno com o fqdn completo apontando para o seu servidor web e assunto resolvido.

@do1984:

Modem - 192.168.25.1
(ESXI 6.5)-pfsense 2.3.3 - lan 192.168.0.89 wan 192.168.25.43
Windows Server 2012 - DNS 192.168.0.8
Estação que roda a aplicação 192.168.0.233 porta 8084

Como desvantagem adicional, para funcionar, o nat refletido terá que chegar no servidor web com o ip da lan do fw, o que dificulta a identificação do ip do cliente nos logs do servidor web.

santello

Não vejo o porquê do Split DNS para o IP local do ser serviço não ser uma solução tão boa quanto o Nat Reflection.

Sobre o NAt, quando criou a regra com nat + proxy, resetou o estado do firewall para confirmar?

reinaldo.feitosa

@do1984:

Site -> Modem -> PFSENSE WAN - PFSENSE LAN - ESTAÇÃO

Pelo que sei o nat só funciona quando o ip publico fica no próprio pfsense. No seu senário tem outro NAT respondendo (modem). Configura seu modem como bridge e testa se o NAT reflection funciona.

Nas configurações que fiz só consegui quando o wan address é o ip publico.

marcelloc

@santeLLo:

Não vejo o porquê do Split DNS para o IP local do ser serviço não ser uma solução tão boa quanto o Nat Reflection.

Se o servidor estiver em uma rede diferente da estação, a diferença é minima, mas quando servidor e estação estão na mesma rede, o mais provável é que você perca o ip do cliente no log do servidor por conta da assimetria de rota/conexão ou source nat.