Port Forwarding não está funcionando na versão 2.5.1

Markinho1970

Amigos,
fiz uma atualizaçao para a versão 2.5.0 e vi que haviam muitos bugs. Vi que havia uma atualização para a versão 2.5.1 para fazer.
Atualizei pra 2.5.1 e notei que alguns BUGS ainda persistem. O que está me atrapalhando agora é o Port Forwarding que não funciona.
As regras estão certas, tudo está certo. Faço uma captura de pacotes e mostra isso:

CAPTURE

10:18:33.855391 8c:90:d3:af:99:e2 (oui Unknown) > 00:00:5e:00:01:02 (oui IANA), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 54, id 0, offset 0, flags [DF], proto TCP (6), length 60)
100.xxx.xxx.177.netflexisp.com.br.35675 > 134.xxx.xxx.191.static.horizonstelecom.com.br.9022: Flags [S], cksum 0x72d8 (correct), seq 1981638028, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3998636314 ecr 0], length 0
10:18:33.855876 00:0c:29:1d:6f:15 (oui Unknown) > 8c:90:d3:af:99:e2 (oui Unknown), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 127, id 13605, offset 0, flags [DF], proto TCP (6), length 60)
svexsa005.exsa.local.9022 > 100.xxx.xxx.177.netflexisp.com.br.35675: Flags [S.], cksum 0xbbf2 (correct), seq 2863258059, ack 1981638029, win 8192, options [mss 1460,nop,wscale 8,sackOK,TS val 86440909 ecr 3998636314], length 0
10:18:36.847274 8c:90:d3:af:99:e2 (oui Unknown) > 00:00:5e:00:01:02 (oui IANA), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 54, id 0, offset 0, flags [DF], proto TCP (6), length 60)
100.xxx.xxx.177.netflexisp.com.br.35675 > 134.xxx.xxx.191.static.horizonstelecom.com.br.9022: Flags [S], cksum 0x6720 (correct), seq 1981638028, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3998639314 ecr 0], length 0
10:18:36.859767 00:0c:29:1d:6f:15 (oui Unknown) > 8c:90:d3:af:99:e2 (oui Unknown), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 127, id 13606, offset 0, flags [DF], proto TCP (6), length 60)
svexsa005.exsa.local.9022 > 100.xxx.xxx.177.netflexisp.com.br.35675: Flags [S.], cksum 0xbac5 (correct), seq 2863258059, ack 1981638029, win 8192, options [mss 1460,nop,wscale 8,sackOK,TS val 86441210 ecr 3998636314], length 0
10:18:40.046710 8c:90:d3:af:99:e2 (oui Unknown) > 00:00:5e:00:01:02 (oui IANA), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 54, id 0, offset 0, flags [DF], proto TCP (6), length 60)
100.xxx.xxx.177.netflexisp.com.br.35675 > 134.xxx.xxx.191.static.horizonstelecom.com.br.9022: Flags [S], cksum 0x5aa0 (correct), seq 1981638028, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3998642514 ecr 0], length 0
10:18:42.868157 00:0c:29:1d:6f:15 (oui Unknown) > 8c:90:d3:af:99:e2 (oui Unknown), ethertype IPv4 (0x0800), length 70: (tos 0x0, ttl 127, id 13607, offset 0, flags [DF], proto TCP (6), length 56)
svexsa005.exsa.local.9022 > 100.xxx.xxx.177.netflexisp.com.br.35675: Flags [S.], cksum 0xec7c (correct), seq 2863258059, ack 1981638029, win 65535, options [mss 1460,sackOK,TS val 86441810 ecr 3998636314], length 0
10:18:43.247206 8c:90:d3:af:99:e2 (oui Unknown) > 00:00:5e:00:01:02 (oui IANA), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 54, id 0, offset 0, flags [DF], proto TCP (6), length 60)
100.xxx.xxx.177.netflexisp.com.br.35675 > 134.xxx.xxx.191.static.horizonstelecom.com.br.9022: Flags [S], cksum 0x4e20 (correct), seq 1981638028, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3998645714 ecr 0], length 0
10:18:46.447226 8c:90:d3:af:99:e2 (oui Unknown) > 00:00:5e:00:01:02 (oui IANA), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 54, id 0, offset 0, flags [DF], proto TCP (6), length 60)
100.xxx.xxx.177.netflexisp.com.br.35675 > 134.xxx.xxx.191.static.horizonstelecom.com.br.9022: Flags [S], cksum 0x41a0 (correct), seq 1981638028, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3998648914 ecr 0], length 0
10:18:49.647318 8c:90:d3:af:99:e2 (oui Unknown) > 00:00:5e:00:01:02 (oui IANA), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 54, id 0, offset 0, flags [DF], proto TCP (6), length 60)
100.xxx.xxx.177.netflexisp.com.br.35675 > 134.xxx.xxx.191.static.horizonstelecom.com.br.9022: Flags [S], cksum 0x3520 (correct), seq 1981638028, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3998652114 ecr 0], length 0
10:18:54.865475 00:0c:29:1d:6f:15 (oui Unknown) > 8c:90:d3:af:99:e2 (oui Unknown), ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 127, id 13608, offset 0, flags [DF], proto TCP (6), length 40)
svexsa005.exsa.local.9022 > 100.xxx.xxx.177.netflexisp.com.br.35675: Flags [R], cksum 0x8c48 (correct), seq 2863258060, win 0, length 0
10:18:55.847219 8c:90:d3:af:99:e2 (oui Unknown) > 00:00:5e:00:01:02 (oui IANA), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 54, id 0, offset 0, flags [DF], proto TCP (6), length 60)
100.xxx.xxx.177.netflexisp.com.br.35675 > 134.xxx.xxx.191.static.horizonstelecom.com.br.9022: Flags [S], cksum 0x1ce8 (correct), seq 1981638028, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3998658314 ecr 0], length 0
10:18:55.847532 00:0c:29:1d:6f:15 (oui Unknown) > 8c:90:d3:af:99:e2 (oui Unknown), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 127, id 13609, offset 0, flags [DF], proto TCP (6), length 60)
svexsa005.exsa.local.9022 > 100.xxx.xxx.177.netflexisp.com.br.35675: Flags [S.], cksum 0xb6a5 (correct), seq 2869723182, ack 1981638029, win 8192, options [mss 1460,nop,wscale 8,sackOK,TS val 86443108 ecr 3998658314], length 0
10:18:58.848809 00:0c:29:1d:6f:15 (oui Unknown) > 8c:90:d3:af:99:e2 (oui Unknown), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 127, id 13610, offset 0, flags [DF], proto TCP (6), length 60)
svexsa005.exsa.local.9022 > 100.xxx.xxx.177.netflexisp.com.br.35675: Flags [S.], cksum 0xb579 (correct), seq 2869723182, ack 1981638029, win 8192, options [mss 1460,nop,wscale 8,sackOK,TS val 86443408 ecr 3998658314], length 0
10:19:04.842171 00:0c:29:1d:6f:15 (oui Unknown) > 8c:90:d3:af:99:e2 (oui Unknown), ethertype IPv4 (0x0800), length 70: (tos 0x0, ttl 127, id 13611, offset 0, flags [DF], proto TCP (6), length 56)
svexsa005.exsa.local.9022 > 100.xxx.xxx.177.netflexisp.com.br.35675: Flags [S.], cksum 0xe730 (correct), seq 2869723182, ack 1981638029, win 65535, options [mss 1460,sackOK,TS val 86444008 ecr 3998658314], length 0
10:19:08.047139 8c:90:d3:af:99:e2 (oui Unknown) > 00:00:5e:00:01:02 (oui IANA), ethertype IPv4 (0x0800), length 74: (tos 0x0, ttl 54, id 0, offset 0, flags [DF], proto TCP (6), length 60)
100.xxx.xxx.177.netflexisp.com.br.35675 > 134.xxx.xxx.191.static.horizonstelecom.com.br.9022: Flags [S], cksum 0xed3f (correct), seq 1981638028, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3998670514 ecr 0], length 0

Pelo que notei, ele bate no servidor destino mas depois de algum tempo a conexão é encerrada por tempo limite excedido.

Vi que já haviam algumas notificações desse bug no site:

https://redmine.pfsense.org/issues/11593

Agora vou ter que voltar meu backup para a versao 2.4.5_p1 pq estava funcionando bem.

Alguém mais passou por isso? Tem alguma correção pra resolver isso?

Obrigado.

Marco Antonio

mcury

@markinho1970

https://forum.netgate.com/topic/162952/port-forwarding-on-openvpn-interfaces-is-broken-on-2-5-1
https://redmine.pfsense.org/issues/11805

Markinho1970

@mcury said in Port Forwarding não está funcionando na versão 2.5.1:

@markinho1970

https://forum.netgate.com/topic/162952/port-forwarding-on-openvpn-interfaces-is-broken-on-2-5-1
https://redmine.pfsense.org/issues/11805

Muito obrigado...

mcury

@markinho1970 said in Port Forwarding não está funcionando na versão 2.5.1:

@mcury said in Port Forwarding não está funcionando na versão 2.5.1:

@markinho1970

https://forum.netgate.com/topic/162952/port-forwarding-on-openvpn-interfaces-is-broken-on-2-5-1
https://redmine.pfsense.org/issues/11805

Muito obrigado...

De nada amigo, já estão verificando, talvez em breve haja um patch, dê uma conferida no fórum pelos próximos dias.

andreipf

Tive este problema hoje e descobri que por ter um balanceamento em que o link tier 1 era diferente do link configurado no Nat, o Nat não funcionava, ao trocar gateway default para o o mesmo link do Nat funcionava

mcury

@andreipf said in Port Forwarding não está funcionando na versão 2.5.1:

Tive este problema hoje e descobri que por ter um balanceamento em que o link tier 1 era diferente do link configurado no Nat, o Nat não funcionava, ao trocar gateway default para o o mesmo link do Nat funcionava

Vai funcionar pelo gateway default, é esse o bug, só funciona pelo default.
Caso você tenha um port forward pelo link secundário, o pacote irá tentar retornar pelo gateway default, causando assimetria e por consequência, não vai funcionar.

Edit: parece que o bug já foi corrigido na versão 2.6 snapshots.

Markinho1970

@andreipf Eu vi... fiz o teste e realmente pelo default gateway funciona normal...
Aguardando a correção... Voltei pra versão 2.4.5 até sair o patch.

Marco