(DUAL WAN) External access problems on WAN2
-
@Thale I tried both, IP and dynamic DNS.
-
Why are your WANs 10.x addresses? Are you cascaded off another nat router? Are they from different providers? Using private addresses on your WAN is fundamentally the wrong way to do it.
-
Because that's how most of ISPs from Brazil do it for dynamic IPV4 links, the public IP is given only when it is static. They give you a router with Internet access and I DMZ to my firewall. That's not wrong and does not make a impact on this cenario. Yes, from different providers.
-
If your ISP is doing carrier grade nat you will have to get with them for traffic to be sent to your pfsense WAN IP..
Simple enough to do a sniff on the pfsense wan to validate traffic gets there... If it does, then its simple to enable web gui port access on your wan.. Any port forwarding would be same normal port forwarding.
But if your behind a carrier grade nat.. You need to validate traffic actually gets to pfsense. Pfsense can not answer or forward traffic it never sees.
An intelligent man is sometimes forced to be drunk to spend time with his fools
If you get confused: Listen to the Music Play
Please don't Chat/PM me for help, unless mod related
SG-4860 24.11 | Lab VMs 2.7.2, 24.11 -
@Rafa By Desse jeito você não consegue ver os IPs que batem na WAN do seu pfsense, tudo vem com o IP de origem do modem, configura o modem em modo bridge, e deixa o teu pfsense de cara pra rua.
Esse modo ai de por em DMZ é ruim sim, você por exemplo não vai conseguir fazer GeoIP block na tua WAN, e etc...Edit:
Vamos supor que tu tenha um servidor http ai, um apache por ex.
E queira permitir apenas acessos do Brasil, ou outro país sei lá...
Nem adianta tentar, pois teu pfsense só vai ver o IP do teu modem -
@Rafa said in (DUAL WAN) External access problems on WAN2:
That's not wrong and does not make a impact on this cenario. Yes, from different providers.
Just because the provider is doing it does not mean it's the right way. I'd also guess that it does have an impact, and you would not have these troubles if you were using a public IP.
-
@johnpoz said in (DUAL WAN) External access problems on WAN2:
if your behind a carrier grade nat.. You need to validate traffic actually gets to pfsense. Pfsense can not answer or forward
Guys, as I said before, I can access from both WANs, but not at the same time. I can only access through the WAN which is the firewalls default gateway. The WAN that is not the default gateway does not let me access, although logs says it accepts.
-
Just to verify- you do not have 'disable reply-to' under advanced, firewall checked? Also, the masks for your WAN interfaces are at least /15?
-
@dotdash It is not a ISP problem, I have a lot of clients working that way, but not this one. Eventually this happens, even with public ips on both WANs.
@mcury Dai bro, sim eu consigo, porque não sofre NAT para dentro, é roteado. Eu só consigo acessar externo, tanto o webcfg quanto host interno via NAT, pelo link que é a rota padrão do firewall.
Acompanhando os logs eu vejo bater nas duas WANs, mas só a que é a rota padrão eu consigo acessar.
O link que não é a rota padrão eu não consigo acessar, apesar de nos logs ele aceitar, sacou?
Isso ocorre em algumas instalações, essa eu consegui corrigir instalando uma versão mais antiga, mas ainda sim preciso de uma solução, visto que ocorre volta e meia.
-
@dotdash said in (DUAL WAN) External access problems on WAN2:
asks for your WAN interfaces are at le
Not checked. Masks are /24. This may not seem right to you, but it is normal here.
The ISP provides a router, which has the public IP on WAN. I connect my pfsense on the router's LAN port, which is a /24 network. Then apply DMZ to pfsense's WAN IP.
I undestand that's a lot to get external access and it is kind strange, but does not impact external access, just makes more hops. I ca not brigde the ISP router because it is their policy to work this way, we are tecnologically underdeveloped man, but it does not mean it is wrong.
-
Rafa, checa os logs, tenho certeza que não vai ter um IP externo acertando a WAN do seu pfsense.
Só a porta de destino vai ser a mesma.Você pode ter logs de saída, mas de entrada, tudo vai vir com o IP do modem.
Vai naquele canyouseeme.org, faz um teste qualquer, e olha lá na captura de pacotes, ou nos logs do Firewall.
Vai ficar com IP interno. -
Talvez você não tenha experiência em trabalhar desta forma, mas bate o ip externo sim, porque é roteado, não tem NAT pra dentro.
A NAT só ocorre na saída quando vai da LAN do modem para a Internet.
Eu vejo meu ip 187.x.x.x bater nas duas WANs, mas só uma acessa, a outra não, apesar de nos logs ele aceitar.
Pessoal aqui está muito focado em achar outros problemas em vez da solução, a situação é bem simples, tenho duas WANs, ambas com NAT e regra de liberação, nos logs tudo é aceito, só que eu não consigo acessar pela WAN2 (no caso a que não é a rota padrão do firewall).
-
@Rafa Bem, eu já trabalhei dessa forma com a Oi, e com a Net.
Ambas faziam NAT da DMZ para meu pfsense.Até eu reclamar, e trocarem os modems por modems que podiam fazer Bridge.
-
@mcury Po mano, nunca vi a NAT pra dentro. Tenho 80 clientes e todos eles tem um link desta forma.
Roteador da operadora com ip publico na WAN / DMZ para o ip do pfsense na LAN
Ele não mascara porque não faz NAT, não tem necessidade de NAT. Meu ip publico vai bater na wan e vai ser roteado pra dentro, no caso pelo endereço configurado na DMZ.
Isso eu posso te garantir, se tu tiver alguém com bastante experiência em redes podes tirar essa dúvida.
Isso eu posso te garantir, se tu tiver alguém com bastante experiência em redes podes tirar essa dúvida.
-
Bem, eu nunca vi funcionar dessa forma que você está dizendo.
Apenas por na DMZ, você apenas recebe primeiro os pacotes, mas nateados com IP de origem do modem, em todos os clientes que já tive.Além do mais, alguém ai que conectar no teu modem com um laptop, tem a capacidade de fazer um estrago.
Não só utilizar tua internet sem nenhum bloqueio, como tentar algum ataque.No mínimo conectar um AP para distribuir internet liberada seria algo que eu já vi acontecer.
-
Todos eles possuem infraestrutura onde os usuários não tem acesso, mas não vem ao caso.
Não vem ao caso também, mas pra que fazer NAT pra dentro cara? Não faz sentido nenhum mascarar o ip que vai entrar na LAN, assim eu nunca conseguiria fazer uma liberação para ip externo, faz sentido pra ti?
Pode rever e fazer teste ai que eu te garanto que bate o ip externo, DMZ não faz NAT.
-
@Rafa said in (DUAL WAN) External access problems on WAN2:
Não vem ao caso também, mas pra que fazer NAT pra dentro cara? Não faz sentido nenhum mascarar o ip que vai entrar na LAN, assim eu nunca conseguiria fazer uma liberação para ip externo, faz sentido pra ti?
Se você não acha que só existe benefício colocando seu modem em bridge, não sou eu que vou te convencer.
Na questão ai do problema de multiwan, sempre fiz o acesso a GUI e nunca tive problema, pelas duas WANs.Espero que alguém ai possa te ajudar, boa sorte.
-
@mcury Claro que existe benefício, porém a operadora não permite, pelo menos uma delas. Tenho firewalls configurados com o mesmo cenário e isso não ocorre, não sei porque. Deve ser da versão mesmo...
-
@Rafa aê, blz? Consegui resolver o seu problema? Estou exatamente com o mesmo acontecendo.
Deixo o Load Balance funcionando e o Failover. Quando cai a Wan1, a Wan2 navega normalmente, mas os NAT's não funcionam.
Fico no aguardo.
Obrigado. -
@johnpoz I agree port forwarding use a weird port number for it, but set it so only approved WAN IP address that can access and get to it too if they are known already. Don't just leave it open to any and all WAN. What about a VPN in ?
