NAT Reflection não esta funcionando
-
Boa tarde,
Estou migrando o firewall para o pfsense e tenho instalado a versão 2.3.4-RELEASE (amd64).
Hoje, alguns serviços da rede interna, são acessados pelo IP publico. Não é o cenário ideal, mas pelo menos por enquanto preciso que esse acesso também seja possível quando migrar para o pfSense.
Configuração atual do pfSense:
System -> AdvancedFirewall & NAT -> Network Address Translation:
NAT Reflection mode for port forwards = Pure Nat
Enable NAT Reflection for 1:1 NAT = checked
Enable automatic outbound NAT for Reflection = checkedFirewall -> NAT -> Port Forward:
Interface = WAN
Protocol = TCP
Destination = Any
Destination port range = 3393
Redirect target IP = 192.X.X.X
Redirect target port = 3389
NAT reflection = Use system defaultA porta do servico de terminal do windows é so um exemplo e de uma rede externa esta funcionando perfeitamente, porém da minha rede interna não vai.
Já veriquei o artivo https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks, porém não obtive sucesso.
Esqueci de fazer algo?
Desde já agradeço.
-
Já tentou mudar o modo do nat reflection?
-
Esqueci de mencionar marcelloc, mas ja testei Pure Nat e Nat + Proxy, porém sem sucesso.
-
Bom dia,
Desabilita o NAT Reflection em System->Advanced.
E habilita (NAT+Proxy) somente na regra Nat que você precisar.
como nesse exemplo que você citou:
"Firewall -> NAT -> Port Forward:
Interface = WAN
Protocol = TCP
Destination = Any
Destination port range = 3393
Redirect target IP = 192.X.X.X
Redirect target port = 3389
NAT reflection = Use system default"Abraços
-
Caro Rogerio,
Mesmo com as alterações sugeridas, continuo não acessando o serviço na WAN pela rede interna. :-\
Não sei se tem algo a ver, mas como teste, na configuração da interface WAN, em Reserved Networks, desmarquei "Block private networks and loopback addresses" e "Block bogon networks", mas mesmo assim sem sucesso.
-
Boa tarde,
Se o acesso externo está funcionando corretamente, não tem erro você pode deixar assim:
System -> AdvancedFirewall & NAT -> Network Address Translation:
NAT Reflection mode for port forwards = Pure Nat <-Disabled
Enable NAT Reflection for 1:1 NAT = checked <- Desmarque
Enable automatic outbound NAT for Reflection = checked <-DesmarqueFirewall -> NAT -> Port Forward:
Interface = WAN
Protocol = TCP
Destination = Any
Destination port range = 3393
Redirect target IP = 192.X.X.X
Redirect target port = 3389
NAT reflection = Use system default <-(NAT+Proxy)Se suas configurações estão assim e não funcionou, poste suas configurações de firewall.
Abraços.
-
Caro Rogério,
Mantive a configuração sugerida e verifiquei minhas regras de firewall na LAN. Havia criado regras para fazer o controle de Banda. Desativei todas e com isso o "NAT reflection" funcionou perfeitamente.
Action = Pass
Interface = Lan
Address Family = IPv4
Protocol = TCP/UDP
Source = Single host or Alias (Informei alias criado)
Destination = Any
In / Out pipe = (informei os limiters para In/Out criados em Traffic Shaper)Esta funcionando o controle de banda, mas agora percebi que quando a ativo o "NAT reflection" não funciona. A maneira que fiz o controle de banda está errado?
Abraço
-
Deixe as regras de acesso ao nat antes de qualquer outra regra de controle de banda ou regras com Gateway marcado.
De qualquer forma, sempre recomendo a configuração de um dns interno para não precisar de um nat reflection ou qualquer outra complexidade ou inclusão de ponto de falha desnecessário
-
Obrigado pela resposta Marcello,
Entendo a sua recomendação e é o que pretendo fazer. Apenas nesse primeiro momento da virada do firewall que gostaria de deixa tudo funcionando do mesmo jeito para minimizar os transtornos. Hoje tenho serviços que em nossa aplicação que faz chamadas pelo endereço público e vai ser muito difícil mapear. A ideia e virar, deixar estável e ai sim fazer essa alteração.
Mas não entendi quando disse para deixar as regras de acesso ao NAT antes de qualquer outra regra.
Regra do Controle da Banda:
Action = Pass
Interface = Lan
Address Family = IPv4
Protocol = TCP/UDP
Source = Single host or Alias (Informei alias criado)
Destination = Any
In / Out pipe = (informei os limiters para In/Out criados em Traffic Shaper)Regra NAT
Interface = WAN
Protocol = TCP
Source = Any
Destination = Any
Destination port range = 3393
Redirect target IP = 192.X.X.X
Redirect target port = 3389A regra de controle de banda esta na LAN e a de NAT está na WAN. Como deixaria a regra de NAT antes dela? Ou está errado na maneira que fiz.
Abraço
-
A regra de controle de banda esta na LAN e a de NAT está na WAN. Como deixaria a regra de NAT antes dela? Ou está errado na maneira que fiz.
Criando uma regra na lan permitindo o acesso que a estação vai fazer acessando o nat reflection. Crie no mesmos moldes que você vê na regra de firewall da wan que autoriza o acesso após a tradução do endereço.
Action = Pass
Interface = Lan
Address Family = IPv4
Protocol = TCP/UDP
Source = lan net
Destination = seu servidor interno e/ou seu ip externo
In / Out pipe = nenhum -
Qual a configuração da sua WAN, Vem de outro NAT? Só funciona quando o IP público está na sua WAN ou via PPPOe ou pelo roteamento direto da operadora sem NAT no meio.
-
Boa tarde Reginaldo,
Não vem de outro NAT. O IP público está na WAN sim.
-
2022 e esse tópico ajudado a gente um salve pra vocês!!!
