Entrare in dispositivo appartenente a LAN di pfsense da altra LAN

kiokoman

che hai fatto casino
fai un disegno della tua rete perchè non capisco cosa hai fatto
pfsense ha 2 interfacce una WAN e una LAN
se pfsense e' collegato dopo il mikrotik l'interfaccia wan avrà come gateway l'ip del mikrotik mentre i dispositivi collegati alla LAN avranno come gateway l'ip che hai impostato per l'interfaccia LAN su pfsense quindi fammi un disegno perchè non si capisce cosa hai fatto

senseiluke

@kiokoman said in Entrare in dispositivo appartenente a LAN di pfsense da altra LAN:

che hai fatto casino
fai un disegno della tua rete perchè non capisco cosa hai fatto
pfsense ha 2 interfacce una WAN e una LAN
se pfsense e' collegato dopo il mikrotik l'interfaccia wan avrà come gateway l'ip del mikrotik mentre i dispositivi collegati alla LAN avranno come gateway l'ip che hai impostato per l'interfaccia LAN su pfsense quindi fammi un disegno perchè non si capisce cosa hai fatto

Ma no dai, fo fatto SOLO casino a riportare i corretti indirizzi.
La mia rete e praticamente impostata in questo modo:
la maggior parte delle interfacce ethernet del mio router Mikrotik sono in bridge a cui ho assegnato un ip 192.168.3.1.
Questa sarebbe in pratica la mia rete che uso regolarmente.
Al solo scopo di fare esperimenti (non mi serve in pratica) ho rimosso un'interfaccia (ether3) dal bridge e gli ho assegnato IP 192.168.10.1.
A tale interfaccia è collegata via cavo la porta WAN di pfsense che ha un IP statico di 192.168.10.124.
Fin qui credo sia chiaro. Volevo "isolare" le due reti a livello 2 e poi aggiungere anche regole di firewall (ancora ci sto lavorando. Il Mikrotik è davvero ostico soprattutto per un niubbo delle reti come me)
La LAN interna del pfsense ha subnet 192.168.5.0/24, alla porta LAN ho collegato un vecchio AP/switch della tp-link a cui è assegnato l'indirizzo
192.168.5.99.
Tutto qui.
Dove sbaglio? Quale potrebbe essere il problema?
Grazie

kiokoman

quindi la regola nat che avevi fatto era giusta e per collegarti all'ap dovresti digitare 192.168.10.124:9999
se non funziona non ho idea..
il firewall del mikrotik ti permette di uscire usando la porta 9999 ?

senseiluke

@kiokoman said in Entrare in dispositivo appartenente a LAN di pfsense da altra LAN:

quindi la regola nat che avevi fatto era giusta e per collegarti all'ap dovresti digitare 192.168.10.124:9999
se non funziona non ho idea..
il firewall del mikrotik ti permette di uscire usando la porta 9999 ?

Ho disabilitato per prova tutte le regole filter del firewall di Mikrotik, ma niente. Non so se bisogna agire anche sulle regole del NAT del Mikrotik

Come faccio ad essere sicuro che mi permetta di uscire sulla 9999?
Grazie

kiokoman

non ho idea sul mikrotik, su pfsense puoi usare packet capture e vedere se arriva traffico

senseiluke

@kiokoman said in Entrare in dispositivo appartenente a LAN di pfsense da altra LAN:

non ho idea sul mikrotik, su pfsense puoi usare packet capture e vedere se arriva traffico

Però se Mikrotik mi lascia raggiungere dal browser del mio PC la dashboard di pfsense, perché dovrebbe impedirmi di raggiungere un dispositivo interno usando lo stesso IP ma con solo porta differente?
Dovrebbe essere solo un problema di pfsense. Boh?
Intanto faccio delle prove e ti faccio sapere.
Grazie

senseiluke

Ho chiesto in un forum mikrotik. Dicono che se riesco a pingare pfsense allora il problema di accesso probabilmente può essere causato dal firewall di pfsense stesso.
Adesso non so come muovermi.
Grazie

kiokoman

devi usare packet capture per vedere se ti arriva traffico sulla porta 9999

senseiluke

@kiokoman said in Entrare in dispositivo appartenente a LAN di pfsense da altra LAN:

devi usare packet capture per vedere se ti arriva traffico sulla porta 9999

ok, vedo di capire come si usa da qualche tutorial e ti faccio sapere appena possibile.
Grazie ancora

senseiluke

ok vedo qualcosa:

13:23:34.891717 IP 192.168.10.1 > 192.168.10.124: ICMP echo reply, id 64791, seq 9729, length 8
13:23:35.417345 IP 192.168.10.124 > 192.168.10.1: ICMP echo request, id 64791, seq 9730, length 8
13:23:35.417475 IP 192.168.10.1 > 192.168.10.124: ICMP echo reply, id 64791, seq 9730, length 8
13:23:35.918579 IP 192.168.10.124 > 192.168.10.1: ICMP echo request, id 64791, seq 9731, length 8
13:23:35.918726 IP 192.168.10.1 > 192.168.10.124: ICMP echo reply, id 64791, seq 9731, length 8
13:23:36.420580 IP 192.168.10.124 > 192.168.10.1: ICMP echo request, id 64791, seq 9732, length 8
13:23:36.420717 IP 192.168.10.1 > 192.168.10.124: ICMP echo reply, id 64791, seq 9732, length 8
13:23:36.932561 IP 192.168.10.124 > 192.168.10.1: ICMP echo request, id 64791, seq 9733, length 8
13:23:36.932716 IP 192.168.10.1 > 192.168.10.124: ICMP echo reply, id 64791, seq 9733, length 8
13:23:37.434572 IP 192.168.10.124 > 192.168.10.1: ICMP echo request, id 64791, seq 9734, length 8
13:23:37.434716 IP 192.168.10.1 > 192.168.10.124: ICMP echo reply, id 64791, seq 9734, length 8
13:23:37.835634 IP 192.168.3.100.15124 > 192.168.10.124.9999: tcp 0
13:23:37.936560 IP 192.168.10.124 > 192.168.10.1: ICMP echo request, id 64791, seq 9735, length 8
13:23:37.936689 IP 192.168.10.1 > 192.168.10.124: ICMP echo reply, id 64791, seq 9735, length 8

Questo potrebbe significare qualcosa:

13:23:37.835634 IP 192.168.3.100.15124 > 192.168.10.124.9999: tcp 0

kiokoman

come hai impostato il packet capture ? su che interfaccia era in ascolto?

senseiluke

@kiokoman said in Entrare in dispositivo appartenente a LAN di pfsense da altra LAN:

come hai impostato il packet capture ? su che interfaccia era in ascolto?

WAN

kiokoman

ok ora prova con LAN e vedi se c'e' qualcosa :)

senseiluke

@kiokoman said in Entrare in dispositivo appartenente a LAN di pfsense da altra LAN:

ok ora prova con LAN e vedi se c'e' qualcosa :)

un attimo...

ecco:

19:39:54.461845 ARP, Request who-has 192.168.5.99 tell 192.168.5.1, length 28
19:39:54.462228 ARP, Reply 192.168.5.99 is-at e8:de:27:ac:8b:3b, length 46
19:39:54.462237 IP 192.168.3.100.17255 > 192.168.5.99.80: tcp 0
19:39:54.717551 IP 192.168.3.100.17256 > 192.168.5.99.80: tcp 0
19:39:56.465937 IP 192.168.3.100.17255 > 192.168.5.99.80: tcp 0
19:39:56.720726 IP 192.168.3.100.17256 > 192.168.5.99.80: tcp 0
19:40:00.475682 IP 192.168.3.100.17255 > 192.168.5.99.80: tcp 0
19:40:00.730000 IP 192.168.3.100.17256 > 192.168.5.99.80: tcp 0

Ma che significa tcp 0?
Grazie

kiokoman

che c'e' sicuramente qualcosa di sbagliato da qualche parte, il traffico passa ma secondo me devi aver fatto troppi smanettamenti a questo punto reinstalla da capo pfsense.
oppure attendi un attimo che vediamo questo come si risolve ... https://forum.netgate.com/topic/151203/nat-in-vmware-not-working-access-to-mgmt-works

senseiluke

@kiokoman said in Entrare in dispositivo appartenente a LAN di pfsense da altra LAN:

che c'e' sicuramente qualcosa di sbagliato da qualche parte, il traffico passa ma secondo me devi aver fatto troppi smanettamenti a questo punto reinstalla da capo pfsense.
oppure attendi un attimo che vediamo questo come si risolve ... https://forum.netgate.com/topic/151203/nat-in-vmware-not-working-access-to-mgmt-works

No dai reinstallare tutto, no

vediamo...

senseiluke

Pare purtroppo che nemmeno in quella discussione ci siano state dele soluzioni.
Qualche altra idea?
Grazie