NAT / Port Forward pfsense 2.3.1-RELEASE-p5 não funciona



  • Olá pessoal, estou tentando liberar acesso externo a um webserver na minha DMZ (LAN) via NAT>Port Forward, porém sem sucesso, também não sei se é a maneira ideal de se fazer isso.
    Nao tentei com versões anteriores do pfsense, somente a 2.3.1-RELEASE-p5

    Cenário:
    Moden: <ip_externo>:80 -> acessa o modem
    Moden: <ip_externo>:4443 -> encaminha para webadmin do pfsense (https)
    Moden: <ip_externo>:8080 -> encaminha para WAN(ipvirtual) do pfsense na porta 8080

    pfsense (WAN) webadmin: https://172.30.100.200:4443 rede /24
    pfsense (WAN) ip virtual: 172.30.100.17 rede /24

    pfsense (LAN): 172.30.0.11  rede /24
    webserver a ser acessado (LAN): http://172.30.0.17 porta 80

    OPT1 E OPT2: Outros 2 links de internet, que junto com a WAN formam um load balance

    OBS: A princípio o problema não é o load balance, já que direciono para o gateway da WAN na regra de firewall criada pelo NAT, também já desabilitei para testar e não funcionou.

    O que pretendo fazer:
    Externamente, acessar http://<ip_externo>:8080 e ser direcionado para http://172.30.0.17, webserver(LAN) porta 80

    O que fiz:

    Primeiramente criei um ip virtual para a WAN em Firewall> Virtual IPs:
    Type:  IP Alias
    Interface: WAN
    Assress typo: Single Address
    Address: 172.30.100.17 /24

    Configurei o modem para direcionar a porta 8080 para o ip virtual do pfsense na porta 8080
    <ip_externo>:8080 -> 172.30.100.17:8080

    Fiz o NAT> Port Forward, direcionando 172.30.100.17:8080 (WAN) para 172.30.0.17:80 (LAN) da seguinte forma:
    Interface: WAN
    Protocol: TCP/UDP

    Source:Any
    Source port: Any

    Destinatio: 172.30.100.17 (ip virtual)
    Destination port:8080  8080

    Redirect target ip: 172.30.0.17
    Redirect target port: 80  (aqui cabe uma pergunta, posso direcionar da 8080 para a 80??)

    Nat reflection: Use System default (pure nat)
    Filter rule associatio: Create new associate rule

    Na regra de firewall criada na WAN, posicionei como a primeira da fila e alterei o gateway para o gateway da WAN

    Resumindo, o fluxo deveria ser este:
    <ip_externo>:8080(modem) -> 172.30.100.17:8080(WAN ip virtual) -> 172.30.0.17:80 (LAN - webserver)

    Resultado: Não funcionou. Timeout.

    Considerações:
    -Consigo acessar meu moden através do ip externo;

    -O modem redireciona a porta 4443 para o webadmin do pfsense;
    -Consigo acessar o webadmin do pfsense através do https://<ip_externo>:4443
    (ou seja, o problema não parece ser o modem)

    -o modem redireciona a porta 8080 para o ip virtual da WAN 172.30.100.17:8080
    -deveria acessa, após fazer o port forward, o webserver digitando https://<ip_externo>:8080
    (tentei usar outras portas, 10000, 10017, etc…sem sucesso)

    -tentei usar o ip físico da WAN ao invés de ip virtual, também sem socesso.

    Configurações:
    Firewall>NAT>Outbound
    Mode: Automatic outbound NAT

    System>Advanced>Admin Access
    Protocol: HTTPS
    TCP Port: 4443
    WeGUI redirect: Marcado (desabilitado)
    DNS Rebind Check: Marcado
    Browser HTTP_REFERE: Marcado (desabilitado)

    System>Advanced>Firewall NAT
    NAT Reflectionmode: Pure NAT
    Enable NAT Reflection 1:1 NAT: Marcado
    Enable automatic outbound NAT: Marcado

    Informações adicionais:
    Ao ler o log do firewall
    Ao fazer uma captura de pacotes na interface WAN no ip 172.30.100.17 (WAN ip virtual) durante uma tentativa de acesso externo obtenho os seguintes resultados:

    11:32:20.841962 ARP, Request who-has 172.30.100.17 tell 172.30.100.1, length 46
    11:32:20.841974 ARP, Reply 172.30.100.17 is-at <mac_da_wan>, length 28
    11:32:20.842573 IP <ip_de_internet>.42002 > 172.30.100.17.8080: tcp 0
    11:32:20.860809 IP <ip_de_internet>.10073 > 172.30.100.17.8080: tcp 0
    11:32:21.080997 IP <ip_de_internet>.10070 > 172.30.100.17.8080: tcp 0
    11:32:21.801204 IP <ip_de_internet>.42002 > 172.30.100.17.8080: tcp 0
    <repete até="" timeout="">Ou seja, a requisição está batendo na WAN (ip virtual)

    Ao repetir a captura na interface LAN com o ip do webserver não recebo nenhum pacote, ou seja, não está chegando no webserver.

    Peço desculpas pelo tamanho do post, mas tentei detalhar o máximo possível.
    Grato</repete></ip_de_internet></ip_de_internet></ip_de_internet></ip_de_internet></mac_da_wan></ip_externo></ip_externo></ip_externo></ip_externo></ip_externo></ip_externo></ip_externo></ip_externo>



  • Colocar o IP da WAN do pfSense em DMZ no Modem não seria melhor?



  • @Tomas:

    Colocar o IP da WAN do pfSense em DMZ no Modem não seria melhor?

    Olá Tomas, obrigado por responder

    Fiz o que você sugeriu, alterei a regra de NAT para apontar para o ip WAN físico e coloquei o ip WAN do pfsense na DMZ do modem, porém sem sucesso, continua do mesmo jeito.

    Pra garantir que não era o modem eu coloquei um hub entre o modem e o pfsense, conectei um notebook e tentei fazer o acesso, mesma coisa, sem sucesso, na captura de pacotes sempre dá a mesma reposta (TCP 0).

    Segue print das regras no meu pfsense, teria mais alguma ideia?
    LINK100 = WAN






  • Precisaria ver mais de "perto"!



  • Bom dia !

    Qual sua operadora? Pergunto isso porque se for Oi Velox ADSL as portas 80 e 443 são bloqueadas embora eles afirmem que não.

    Att,



  • @andrefreire:

    Bom dia !

    Qual sua operadora? Pergunto isso porque se for Oi Velox ADSL as portas 80 e 443 são bloqueadas embora eles afirmem que não.

    Att,

    Bom dia andrefreire
    A operadora é Telefônica (VIVO),  nesse caso não creio ser a operadora, pois consigo acessar a interface do modem (80) e o webadmin do pfsense (4443)
    Mas obrigado pela atenção



  • Up!
    Alguém?



  • A primeira coisa que eu faria eu botaria o modem em modo bridge e autenticaria com a operadora diretamente no pfsense, isso já removeria uma camada de encaminhando que você está fazendo, a partir daí teria diversas sugestões.

    Abs



  • @felipesilvafernandes:

    A primeira coisa que eu faria eu botaria o modem em modo bridge e autenticaria com a operadora diretamente no pfsense, isso já removeria uma camada de encaminhando que você está fazendo, a partir daí teria diversas sugestões.

    Abs

    Boa idéia felipesilvafernandes, vou tentar e posto o resultado



  • E ai cara resolveu  seu problema ?