[RESOLVIDO] pfSense não pinga externamente, mas GUI acessa normalmente

andrezaomac

Olá amigos,

Essa é minha segunda instalação do pfSense em uma VM Xenserver e ambas estão funcionando perfeitamente, com apenas um detalhe. Uma delas não permite a conexão OpenVPN e ambas tem a mesma configuração.

Buscando uma solução para o problema, fui fazer teste de ping externo e o pfSense não é encontrado. Detalhe que consigo acessá-lo pelas portas 443 e também do respectivo SSH, também consigo acessar externamente outros computadores da rede que estão configurados no NAT.

Por isso, acredito que algo esteja bloqueando o pfsense, mas não consigo encontrar.

Segue abaixo, algumas imagens.

Imagem Dashboard:

A mensagem do firewall em relação a porta WAN é:

A regra que desencadeou esta ação é:

@5(1000000103) block drop in log inet all label "Default deny rule IPv4"

Firewall / Regras / WAN:

Sobre a regra do seu Ping, nos meus servidores normalmente eu deixo o Ping Externo Desativado, mas quando eu preciso eu crio essa regra.
A sua regra está diferente, tente fazer igual a minha.
veja a imagem abaixo.
https://www.dropbox.com/s/3bpoo0j5disip5u/pingexterno.PNG?dl=0

Sobre a dúvida do Ping com o funcionamento da VPN.
Se for usar VPN de Servidor-para-Servidor, o ping não influencia.
Se for usar VPN com acesso através de aplicativos como o OpenVPN, realmente influencia, ao menos nos teste que fiz, quando desabilita o ping o OpenVPN não conecta.

marcelloc

@marceloengecom:

[2.3.4-RELEASE][root@firewall01.vmobc.local]/root: tcpdump -ni xn1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on xn1, link-type EN10MB (Ethernet), capture size 65535 bytes
04:13:46.838325 IP 192.168.25.2.4022 > 177.18.191.148.63918: Flags [P.], seq 1378918515:1378918723, ack 2856631673, win 510, length 208
04:13:47.035726 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9821, length 8
04:13:47.036467 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9821, length 8
04:13:47.537726 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9822, length 8
04:13:47.538460 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9822, length 8
04:13:48.038909 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9823, length 8
04:13:48.039732 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9823, length 8
04:13:48.539728 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9824, length 8
04:13:48.540519 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9824, length 8
04:13:49.040728 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9825, length 8
04:13:49.041361 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9825, length 8
04:13:49.545734 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9826, length 8
04:13:49.546559 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9826, length 8
04:13:50.046827 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9827, length 8
04:13:50.047587 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9827, length 8
04:13:50.547730 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9828, length 8
04:13:50.548324 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9828, length 8
04:13:51.048727 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9829, length 8
04:13:51.049183 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9829, length 8
04:13:51.550720 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9830, length 8
04:13:51.551181 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9830, length 8
04:13:52.051726 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9831, length 8
04:13:52.052412 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9831, length 8
04:13:52.553730 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9832, length 8
04:13:52.554440 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9832, length 8
04:13:53.054761 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9833, length 8
04:13:53.055276 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9833, length 8
04:13:53.556735 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9834, length 8
04:13:53.557278 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9834, length 8
04:13:54.058732 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9835, length 8
04:13:54.059304 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9835, length 8
04:13:54.560731 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9836, length 8
04:13:54.561302 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9836, length 8
04:13:55.062533 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9837, length 8
04:13:55.063338 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9837, length 8
04:13:55.562726 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9838, length 8
04:13:55.563333 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9838, length 8

Não achei nenhum registro do seu ping externo nesse log também, só o teste do gateway entre ele e o fw.

Olhe na aba de logs do openvpn, veja se aparece mais alguma informação.

marceloengecom

Sobre a regra do seu Ping, nos meus servidores normalmente eu deixo o Ping Externo Desativado, mas quando eu preciso eu crio essa regra.
A sua regra está diferente, tente fazer igual a minha.
veja a imagem abaixo.
https://www.dropbox.com/s/3bpoo0j5disip5u/pingexterno.PNG?dl=0

Sobre a dúvida do Ping com o funcionamento da VPN.
Se for usar VPN de Servidor-para-Servidor, o ping não influencia.
Se for usar VPN com acesso através de aplicativos como o OpenVPN, realmente influencia, ao menos nos teste que fiz, quando desabilita o ping o OpenVPN não conecta.

Oi André,

Obrigado por tentar ajudar!

Já coloquei essa regra no PING, mas também não funcionou. E realmente estou usando o software OpenVPN para conexão do tipo "Acesso Remoto".

pfsense_icmp.jpg_thumb

marcelloc

O tcpdump mostra que os pacotes de ping não estão chegando no firewall. A regra só vai ter efeito quando o pacote chegar na wan no fw.

marceloengecom

@marcelloc:

O tcpdump mostra que os pacotes de ping não estão chegando no firewall. A regra só vai ter efeito quando o pacote chegar na wan no fw.

Oi Marcello,

Eu nunca usei o tcpdump, mas me parece que em alguns momentos, a porta WAN (192.168.25.2), responde a requisição ICMP vindo do modem (192.168.25.1).

04:13:54.561302 IP 192.168.25.1 > 192.168.25.2: ICMP echo reply, id 13137, seq 9836, length 8
04:13:55.062533 IP 192.168.25.2 > 192.168.25.1: ICMP echo request, id 13137, seq 9837, length 8

marcelloc

@marceloengecom:

Eu nunca usei o tcpdump, mas me parece que em alguns momentos, a porta WAN (192.168.25.2), responde a requisição ICMP vindo do modem (192.168.25.1).

Na verdade é o contrário o reply é a resposta da solicitação de ping gerada no firewall para saber se o gateway está ativo e acessível.

O que deveria aparecer aí é o seu ip cliente externo como origem no request e o ip do firewall como destino deste mesmo request.

marceloengecom

Então é o modem que está bloqueando o ping!!! Estranho que outras portas ele libera.

Estou o usando o modem Pace v5471, fornecido pela VIVO e desbloqueado pelo firmware da Tripleoxygen (OXY-42006).

danilosv.03

Você tem um IP publico para este tipo de trabalho?

marceloengecom

@danilosv.03:

Você tem um IP publico para este tipo de trabalho?

Uso um serviço de DNS Dinâmico que está plenamente funcional. O serviço está configurado diretamente no pfSense.

marceloengecom

Problema resolvido…

Conferi os logs do OpenVPN e apresentava os seguintes erros:

187.113.211.72:58035 TLS Error: TLS handshake failed
Jun 1 14:12:03 openvpn 23410 <ip-cliente>:58035 TLS Error: TLS object -> incoming plaintext read error
Jun 1 14:12:03 openvpn 23410 <ip-cliente>:58035 TLS_ERROR: BIO read tls_read_plaintext error
Jun 1 14:12:03 openvpn 23410 <ip-cliente>:58035 OpenSSL: error:140890B2:SSL routines:SSL3_GET_CLIENT_CERTIFICATE:no certificate returned
Jun 1 14:12:03 openvpn 23410 <ip-cliente>:58035 VERIFY SCRIPT ERROR: depth=0, C=BR, ST=<estado>, L=<cidade>, O=<organização>, emailAddress=<email>, CN= <nome-comum>Jun 1 14:12:03 openvpn 23410 <ip-cliente>:58035 WARNING: Failed running command (--tls-verify script): external program exited with error status: 1

O que fiz então, foi desabilitar a checagem profunda do certificado.

Em VPN / OpenVPN / Servidores / Editar:
No campo "Certificate Depth" colocar "Do Not Check"

Bastou esse procedimento e funcionou a conexão VPN.

Outro detalhe importante é que continuou a não pingar, devido a restrição do modem (Pace v5471, fornecido pela GVT). Apesar de não parecer interferir nos serviços liberados no pfsense, busquei informações de como permitir o ping remoto para que eu pudesse monitorar a conectividade da internet.

Liberação de ping da porta WAN do modem Pace v5471:

Conectar ao modem, via SSH
Usuário: admin
Senha: gvt12345

Comandos:

cli

set WANConnectionDevice_1_Firewall_AllowRemotePing 1
fcommit
exit
reboot

Obrigado ao pessoal do fórum pela ajuda!

Abraço,</ip-cliente></nome-comum></email></organização></cidade></estado></ip-cliente></ip-cliente></ip-cliente></ip-cliente>