[RESOLVIDO] Problema com NAT



  • Saudações caros users.

    Eu estou com um problema de anos aqui na empresa, eu entrei nesse ano e espero conseguir resolver esse problema.
    Tem um relógio da CEMIG aqui que, quando conectado no firewall a CEMIG não consegue conectar.
    Já tentei criar um NAT e Rules para desbloquear mas não resolveu o problema.
    Preciso liberar o acesso na porta 7700 e no ip interno 192.168.0.100
    Uso o PFSense 2.1.3-RELEASE (i386)

    Me pediram para eu testar usando o comando telnet IPREAL 7700

    Já pesquisei muito sobre o assunto, inclusive em posts aqui do fórum mas não consegui resolver.
    Caso precisem de mais informações é só falar, sou iniciante no PFSense.



  • @O:

    Saudações caros users.

    Eu estou com um problema de anos aqui na empresa, eu entrei nesse ano e espero conseguir resolver esse problema.
    Tem um relógio da CEMIG aqui que, quando conectado no firewall a CEMIG não consegue conectar.
    Já tentei criar um NAT e Rules para desbloquear mas não resolveu o problema.
    Preciso liberar o acesso na porta 7700 e no ip interno 192.168.0.100
    Uso o PFSense 2.1.3-RELEASE (i386)

    Me pediram para eu testar usando o comando telnet IPREAL 7700

    Já pesquisei muito sobre o assunto, inclusive em posts aqui do fórum mas não consegui resolver.
    Caso precisem de mais informações é só falar, sou iniciante no PFSense.

    vc consegue acessar ele internamente ?

    se sim , como ?



  • Ai esse relógio usa o seu Gateway para acesso ?  já fez um teste na ACL, para não passar pelo Proxy ?



  • Boa noite, você é de qual cidade,

    Aqui tenho CEMIG também, qualquer coisa me adiciona no skype que lhe auxilio, ele é chato mesmo para liberar.

    abraço

    skype: joaobrn.rochanetoconsultoria



  • vc consegue acessar ele internamente ?

    se sim , como ?

    Eu uso o ip interno de rede do relógio. Nós temos um link com ip real que é por ele que a CEMIG acessa o relógio.

    Ai esse relógio usa o seu Gateway para acesso ?  já fez um teste na ACL, para não passar pelo Proxy ?

    Atualmente temos um link de internet somente para o relógio, pois quando conecta no mesmo link de internet do firewall ele bloqueia. Sinceramente eu não entendo muito de redes e estou confuso com a sua pergunta.

    Boa noite, você é de qual cidade,

    Aqui tenho CEMIG também, qualquer coisa me adiciona no skype que lhe auxilio, ele é chato mesmo para liberar.

    abraço

    skype: joaobrn.rochanetoconsultoria

    Vou te adicionar em breve.



  • Ai esse relógio usa o seu Gateway para acesso ?  já fez um teste na ACL, para não passar pelo Proxy ?

    Coloquei a porta 7700 na acl safeports e aclsslports(para garantir) e não deu certo.



  • troubleshooting básico:

    após criar o nat no firewall, veja se na sua interface wan  que criou a nat não tem nenhuma regra acima bloqueando.
    analise os logs do firewall para ver o possível motivo do block.. vc pode estar utilizando um protocolo errado no nat. (Status>System Logs> Firewall)
    caso não funcione tente usar alguma ferramenta para obter as flags da conexão… indico o hping <- importante testar em outra rede e validar no ip externo do qual você criou o nat.

    o mais correto de você conseguir resolver é analisar os logs do pfsense, com isso você já resolveria o problema.

    abraços.



  • Ao verificar os logs do PfSense após tentar acessar o firewall pela porta 7700 deu o seguinte erro:

    lighttpd[34940]: (request.c.1125) POST-request, but content-length missing -> 411



  • O seguinte log também apareceu:

    bandwidthd: Connection to database 'user = postgresql dbname = postgresql password = [CENSURADO] host = 192.168.0.253:5432' failed: could not translate host name "192.168.0.253:5432" to address: hostname nor servname provided, or not known

    Eu estou tentando pesquisar aqui, mas caso alguém saiba o que é esse erro…



  • Boa noite,

    Essa regra que libera a porta 77 você fez onde? Em Firewall > Rules > WAN ou em Firewall > NAT?



  • @joaobrn:

    Boa noite,

    Essa regra que libera a porta 77 você fez onde? Em Firewall > Rules > WAN ou em Firewall > NAT?

    Fiz em Firewall > NAT e coloquei pra criar uma regra do NAT.



  • Faça um teste na sua regra altere de WAN ADDRESS para WAN NET



  • @ttercio:

    Faça um teste na sua regra altere de WAN ADDRESS para WAN NET

    Fiz o teste aqui, e deu a mesma coisa



  • @O:

    @ttercio:

    Faça um teste na sua regra altere de WAN ADDRESS para WAN NET

    Fiz o teste aqui, e deu a mesma coisa

    Tens outro NAT funcionando na tua rede? so pra gente saber se é problema quando faz específico com esse relógio



  • @ttercio:

    @O:

    @ttercio:

    Faça um teste na sua regra altere de WAN ADDRESS para WAN NET

    Fiz o teste aqui, e deu a mesma coisa

    Tens outro NAT funcionando na tua rede? so pra gente saber se é problema quando faz específico com esse relógio

    Não tenho nenhum outro NAT funcionando. Quem configurou o firewall já saiu da empresa, eu estou correndo atrás pra ver se aprendo como mexer nele.



  • Faz um teste… pega uma maquina com windows 7 e vai em: Painel de Controle -> Sistema - Configurações Remota;
    marca permitir conexoes de assistencia remota para este computador.
    marca Permitir conexoes de computadores que estejam executando qualquer versao da área de trabalho remota ( Menos Seguro )

    Coloque uma senha no seu PC.

    Isso é so pra gente testar o NAT em um serviço MS RDP.

    Agora vamos no Pfsense.
    Firewall -> NAT -> Port Foward clique no ( + )
    Interface -> WAN
    Protocolo -> TCP
    Source -> Não altere
    Destination -> WAN NET
    Destination port range -> MS RDP ( 3389 )
    Redirect target IP -> IP do PC que vocês fez os passos acima.
    Redirect target port -> MS RDP ( 3389 )
    Descrição -> A seu gosto.

    Clique em SAVE

    Vá nesse site
    http://ping.eu/port-chk/
    IP address or host name -> Coloque seu IP Publico e a porta 3389 Clique em GO

    Veja se a porta aparece Open.
    OBS: Para esse teste desabilite o firewall do windows



  • Fiz o teste e fala que a porta está fechada.

    As regras para bloquear e permitir LAN funcionam, mas WAN não.



  • Com o equipamento na sua rede pinga do firewall para o ip interno dele e veja se eles se conhecem.
    Verifique se o equipamento esta como DHCP para ter certeza que ele esta com o gateway certo para retornar o pacote.
    se a comunicação interna estiver ok força acesso na porta 7700 via telnet e veja se fecha.

    se internamente tudo estiver OK comece os testes de fora da rede

    com uma maquina de fora da rede força acesso na porta 7700 via telnet e veja se fecha, se não fechar filtra pelo ip de origem o log de firewall e veja se passou ou não por ele.

    Voce pode filtrar pela porta 7700 no log do firewall tbm

    Exclui e cria novamente o NAT e não esqueça de habilitar o log.

    meu skype martinf.silva



  • Quando eu dou o telnet ip 7700 no log aparece conecções para o ip do firewall mas com outras portas, é assim mesmo ? Portas como  8123, 3228, 30828…



  • @O:

    Fiz o teste e fala que a porta está fechada.

    As regras para bloquear e permitir LAN funcionam, mas WAN não.

    Pode ser que tenha que abrir essa porta no seu MODEM. Na sua WAN vc tem um IP público ou é desses: 192.168.0.1 , 10.0.0.1 , 192.168.1.1 ???



  • @ttercio:

    @O:

    Fiz o teste e fala que a porta está fechada.

    As regras para bloquear e permitir LAN funcionam, mas WAN não.

    Pode ser que tenha que abrir essa porta no seu MODEM. Na sua WAN vc tem um IP público ou é desses: 192.168.0.1 , 10.0.0.1 , 192.168.1.1 ???

    Eu tenho um ip publico. Esse link de internet está ligado direto no firewall.



  • É dedicado ? como é ?



  • @ttercio:

    Faça um teste na sua regra altere de WAN ADDRESS para WAN NET

    Não aconselho fazer isso. Deixe o nat sempre "apontado" para o ip que quer usar, não para uma rede.



  • @O:

    Print das rules:

    Se este é o print dos nats, você está tentando fazer dois nats na mesma porta, o que não vai dar certo de forma alguma

    Segundo ponto, em um dos nats, você está apontando para um ip externo, o que provavelmente vai falhar por conta do roteamento assimétrico que esse configuração vai gerar.

    ps: Para sua segurança, esconda seu ip público dos prints.




  • marcelloc - por isso que tentei fazer com ele outro NAT apontando pra um RDP só pra ve se passava e mesmo assim não foi.
    Nem tinha me atentado que ele usava um IP Público já tava nos prints e passei batido. Eu acho que tem que liberar ao no Modem dele .



  • Se está usando o modem em modo bridge, não precisa configurar mais nada lá.

    Se o modem estiver comunicando com o pfSense via rede privada/nat, você pode configurar o ip do pfsense na DMZ do seu modem e fazer somente um nat por porta do ip WAN



  • Quando eu dou o telnet IP 7700 e olho nos logs, aparece portas diferentes, é assim mesmo ?

    Tanto que se eu filtrar por porta 7700 eu nem acho resultados…

    E nem usamos modem também, o link é ligado direto no firewall e ele que faz o papel de modem. Tem um switch mas não tem nada haver né ?



  • Vai em System > Advanced  e na aba Firewall/NAT

    em  NAT Reflection mode for port forwards  - coloca NAT + Proxy

    Aqui uso assim e da certo.



  • @neutonsp:

    Vai em System > Advanced  e na aba Firewall/NAT

    em  NAT Reflection mode for port forwards  - coloca NAT + Proxy

    Aqui uso assim e da certo.

    Deu certo !

    O que exatamente essa configuração faz ?

    Muito Obrigado.



  • @neutonsp
    Bom dia.
    Fiz este processo para utilizar o ex: redmine.meudominio.com.br internamente, consigo acessar o redmine normalmente e tudo mais, porem ao alterar alguma tarefa e confirmar ele fica pensando como se tivesse fechado a conexão ou se perdido, não consegui identificar o problema =x


Log in to reply