[RESOLVIDO] Redirecionamento de Nat.
-
Bom dia pessoal,
Estou começando a usar o pfsense pela primeira vez, e estou com um pequeno problema, que já tentei de várias formas solucionar mas não consegui.
A situação é que gostaria de acessar meu computador da empresa de casa. Não somente eu mas preciso criar vários acessos desse tipo, pois tenho terceirizados em minha empresa que precisam acessar de casa seu computador na empresa.
Só que não estou conseguindo de jeito nenhum fazer esse redirecionamento.
Coloquei em anexo como estou tentando fazer. Poderiam me dar uma ajuda?
-
Você criou uma regra de firewall associada? Se não, precisa liberar no firewall também!
Outra opção não tão menos importante, é a tratativa do NAT.
Na maioria dos casos, utiliza-se "Pure NAT". -
Como é sua conexão? Roteador ou ppoe? se for um router vc tem que criar uma rota para chegar no pfsense, geralmente eu configuro PPoE ou quando não é possível crio uma DMZ para o ip do pfSense
-
Quando eu crio uma regra de Nat, por padrão ele já cria uma rules para liberar aquele acesso.
Mas também tentei liberar a porta na mão.Quando eu criei minha Nat, ele já criou essa rule abaixo.
Protocol Source Port Destination Port Gateway Queue Schedule Description
IPv4 TCP * * 129.200.29.92 3389 (MS RDP) * none NAT CPD-ROBERT Desktop
E como estou começando o Firewall, ainda não tenho regras de bloqueios acima dessa.
Desculpe a Ignorancia mas quando você se refere ao puro Nat, está se referindo a configuração de NAT Reflection que posso modificar dentro da minha regra de NAT? -
Isso.
Aparentemente está correto.
O link que chega no PF é direto do router da operadora (ip válido) ou passa por um modem adsl/gpon com NAT ?
-
O link que chega no Pf é direto da Operadora e é valido sim!.
Esse PFSENSE que criei está no meu computador em uma máquina virtual.
Atualmente meu computador está com duas placas, uma ligada a rede interna e a outra ligado a operadora.
Tenho um Cent-Os nessa mesma rede, com os redirecionamentos configurados via Ip tables que está funcionando bem. -
O link que chega no Pf é direto da Operadora e é valido sim!.
Esse PFSENSE que criei está no meu computador em uma máquina virtual.
Atualmente meu computador está com duas placas, uma ligada a rede interna e a outra ligado a operadora.
Tenho um Cent-Os nessa mesma rede, com os redirecionamentos configurados via Ip tables que está funcionando bem.Marca o nat para fazer o log e verifica se o trafego esta chegando no pfSense
-
Fiz o procedimento que você me disse e encontrei o seguinte.
Tentei acessar meu computador via RPD do celular.
No log do firewall aparentemente foi "aceito", mas ainda assim não consigo conectar.
Mas quando eu vou na rule da nat que criei, eu vejo que tem pacote entrando.
Ai quando eu clico na na rule, na parte do States ele me joga para tela de states me monstrando a tentativa de conexão. O State da conexão é CLOSED:SYN_SENT.
Coloquei os prints em anexo.![Firewall Log.PNG](/public/imported_attachments/1/Firewall Log.PNG)
![Firewall Log.PNG_thumb](/public/imported_attachments/1/Firewall Log.PNG_thumb)
-
Umas perguntas bobas:
A conexão RDP está liberada no windows?
A conexão RDP está liberada no firewall do windows ou o firewall do windows está desativado?
-
Minha conexão RDP está habilitada certinha :D.
Eu acesso meu computador de casa por um outro link.
Temos dois links de internet aqui na empresa, cada um em um CENTOS com seu redirecionamento. Caso um caia acessamos pelo outro. A ideia é substituir eles pelo PFSENSE.
Sim meu firewall do windows está desabilitado. -
As regras estão corretas.
Está parecendo ser alguma configuração do pf, alguma flag que você marcou, algo bem específico.
Poste suas configurações AVANÇADAS.
-
Abaixo Segue minhas configurações do PFsense :
Configurações Avançadas do Pfsense versão 2.3.3-RELEASE-p1.
Admin Access :
WebConfigurator.
Protocol → HTTP
TCP port → Está em Branco este campo
Max Processes → 2
WebGui redirect → Flag não está habilitada
WebGUI Login Autocomplete → Flag está habilitada
WebGUI Login Messages → Flag não está habilitada
Anti-Lockout → Flag está habilitada
DNS Rebind check → Flag está habilitada
Alternate Hotnames → Flag não está habilitada
Browser HTTP_REFERER enforcement → Flag não está habilitada
Browser tab text → Flag está habilitadaSecure Shell
Secure Shell → Flag está habilitada
Authentication Method → Flag não está habilitada
SSH port → 22Serial Communications
Não utilizo serial.
Console Options
Console Menu → Flag está habilitada
Firwall & NAT :
Firewall Advanced.
IP Do-Not-Fragment compatibility → Flag não está habilitada
IP Random id generation → Flag não está habilitada
Firewall Optimization Options → Normal
Disable Firewall → Flag não está habilitada
Disable Firewall Scrub → Flag não está habilitada
Firewall Adaptive Timeouts → Configuração Default
Firewall Maximum States → Default
Firewall Maximum Table Entries → Default
Firewall Maximum Fragment Entries → Default
Static route filtering → Flag não está habilitada
Disable Auto-added VPN rules → Flag não está habilitada
Disable Negate rules → Flag não está habilitada
Aliases Hostnames Resolve Interval → Default
Check certificate of aliases URLs → Flag não está habilitadaBogon Networks
Update Frequency → Monthly
Network Address Translation
NAT Reflection mode for port forwards → disabled
Reflection Timeout → Campo em Branco
Enable NAT Reflection for 1:1 NAT → Flag não está habilitada
Enable automatic outbound NAT for Reflection → Flag não está habilitada
TFTP Proxy → DefaultState Timeouts
Aqui está tudo default, nada configurado.
Networking :
IPv6 Options
Allow IPV6 → Flag não está habilitada
IPv6 over IPv4 → Flag não está habilitada
Prefer Ipv4 ou Ipv6 → Flag não está habilitadaNetwork Interfaces
Device polling → Flag não está habilitada
Hardware checksum Offloading → Flag não está habilitada
Hardware TCP Segmentation Offloading → Flag está habilitada
Hardware Large Receive offloading → Flag está habilitada
ARP Handling → Flag está habilitadaNas opções de Miscellaneous / System Tunables eu não mexi em nenhuma configuração.
Está tudo Default da instalação do Pfsense.
Em Notifications configurei um e-mail da empresa só para testar o envio de e-mails do Pfsense. -
Poste uma printscreen das tuas regras de firewall na WAN e do NAT port forward.
-
Segue os Print´s Do Nat e das Rules da Wan.
![Nat Post Forward.PNG](/public/imported_attachments/1/Nat Post Forward.PNG)
![Nat Post Forward.PNG_thumb](/public/imported_attachments/1/Nat Post Forward.PNG_thumb)
![Rules Wan.PNG](/public/imported_attachments/1/Rules Wan.PNG)
![Rules Wan.PNG_thumb](/public/imported_attachments/1/Rules Wan.PNG_thumb) -
Cara, na regra do Port Forward no Dest. Ports tem as portas 64000, 64492 e 13389. Porque tu colocou essas portas?
Muda elas para a 3389 e testa novamente.
-
Então primeiramente desculpe a ignorância :-
É porque no meu Centos que atualmente faz os redirecionamentos via IP tables, cada funcionário que na minha impressa acessa o computador do trabalho de casa acessa por uma porta que nos liberamos no servidor.Ex : Atualmente eu acesso meu computador de casa pelo ip da wan do meu servidor :64492 .. chegando no meu servidor ele redireciona pra o meu ip interno 129.200.29.92:3389
Eu ainda estou um pouco confuso com isso, porque como eu iria acessar de casa? usando a propria porta 3389?
Eu ainda tenho vários computadores para fazer esse redirecionamento. Entende minha duvida? … seriam todas as pessoas que acessem de casa usando 3389? pode ser uma pergunta idiota ...
eu fiz exatamente como você me disse troquei pra 3389 na dest. ports e não consegui acessar.desculpe mais uma vez pela ignorancia.
-
Qual o gateway esta configurado na estação?
Pois seu NAT Está correto, tudo mostra que a conexão nao esta retornando da estação para o pfSense, o gateway deve ser o outro servidor seu. -
Tenho um Cent-Os nessa mesma rede, com os redirecionamentos configurados via Ip tables que está funcionando bem.
Veja se não está gerando roteamento assimétrico com os dois firewalls. Para testar os dois ao mesmo tempo, você vai ter que configurar uns snats no Fw 'de teste' para o nat externo chegar com IP de origem traduzido para o IP da LAN do Fw.
-
Galera muito obrigado pela ajuda, conseguir matar o problema.
Como o Reinaldo Feitosa disse o problema era o Gateway mesmo.
Eu coloquei o gateway do meu servidor na maquina que eu queria acessar e funcinou perfeitamente!