Gateway pfsense x Windows DNS / AD

do1984

Bom dia a todos.
Estou me batendo desde ontem e não sei mais o que fazer.
Estou migrando o servidor de internet (gateway / firewall / proxy) do Ubuntu para Pfsense. Tudo funcionou, regras, proxy, nats, port forwards, etc.
Porém, quando seto o ip do pfsense como gateway nas estações, as mesmas perdem a conectividade (Rede não identificada, no Windows), e não conseguem nem pingar outras estações da rede.
Vamos ao cenário:
Modem GVT: 192.168.25.1 (no modem tenho dois cabos ligando o ubuntu e o pfsense, para rodar eles em paralelo e facilitar a migração)
pfsense 2.3.3: 192.168.0.89 (lan - estático), 192.168.25.222(wan- dhcp mas com reserva de endereço no modem)
Ubuntu 14.04 lts: 192.168.0.201 (lan - estático), 192.168.25.2 (wan - estático)
Windows 2012 Server - (192.168.0.8) - Esse mesmo opera como DNS Primário e é controlador do domínio.

Todas as estações(membros do domínio) utilizam ip estático. Então, na estação, ao alterar o gateway de 192.168.0.201 para 192.168.0.89 a conectividade é totalmente perdida. Se retorno ao 192.168.0.201, a estação já encontra o domínio e acesso a internet.
Lembrando que tanto o PfSense quanto o Ubuntu estão na mesma Subnet 192.168.0.0/24.
Não sei mais o que fazer, alguma dica?

chipbr

Poste o resultado dos seguintes testes

1 - ping para um nome a partir do console do pfsense (ex: www.google.com.br)
2 - ping para um IP fixo a partir do console do pfsense (ex: 8.8.8.8 )

3 - ping para um nome a partir do seu computador com o pfsense como gateway (ex: www.google.com.br)
4 - ping para um IP fixo a partir do seu computador com o pfsense como gateway (ex: 8.8.8.8 )

brunok

O gateway do servidor Windows deve ser alterado para o ip do pfSense também.

Qual motivo de usar ip manual nos dispositivos? ???

do1984

@chipbr:

Poste o resultado dos seguintes testes

1 - ping para um nome a partir do console do pfsense (ex: www.google.com.br)
2 - ping para um IP fixo a partir do console do pfsense (ex: 8.8.8.8 )

3 - ping para um nome a partir do seu computador com o pfsense como gateway (ex: www.google.com.br)
4 - ping para um IP fixo a partir do seu computador com o pfsense como gateway (ex: 8.8.8.8 )

Pfsense para URL
ping www.google.com
PING www.google.com (172.217.29.132): 56 data bytes
64 bytes from 172.217.29.132: icmp_seq=0 ttl=56 time=14.734 ms

pfsense para ip fixo
ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
64 bytes from 8.8.8.8: icmp_seq=0 ttl=48 time=66.860 ms

estação para nome
ping server2
A solicitação ping não pôde encontrar o host server2. Verifique o nome e tente
novamente.

Estação para IP
ping 192.168.0.8

Disparando 192.168.0.8 com 32 bytes de dados:
Esgotado o tempo limite do pedido.
Esgotado o tempo limite do pedido.

A estação não pinga absolutamente nada

do1984

@brunok:

O gateway do servidor Windows deve ser alterado para o ip do pfSense também.

Qual motivo de usar ip manual nos dispositivos? ???

Sim amigo, já foi alterado no Windows Server.

IPs estáticos porque na estrutura atual, ainda não foram colocados repetidores Wifi isolados, atualmente eles utilizam a mesma infra da rede interna. A rede wifi tem outro modem e outra conexão de internet (para clientes). Porém por falta de pontos de rede, existe aquela gambiarra de colocar 1 roteador wifi na parede, e ligar 1 estação via lan para rede 192.168.0.x enquanto a wifi vai para 192.168.100.x. Porém aí não há isolamento, e com eles compartilhando mesma porta não consigo fazer Vlan. Então, se trabalharmos com DHCP ficarão dois servers DHCP ativos, e fazendo com que não tenhamos controle da faixa de ips. Colocar um servidor DHCP filtrando por mac também é inviável porque ele teria que ficar recusando macs "estranhos" o dia todo. Logo toda rede wifi utilizará o Unify (sem cabos físicos), aí sim podemos habilitar o DHCP, e ligar eles junto ao pfsense (adicionando uma terceira placa de rede).
Confuso né? Pois é, por isso, ao menos no momento, é melhor deixar estático.

brunok

Poste print das suas interfaces e regras do FW.

do1984

@brunok:

Poste print das suas interfaces e regras do FW.

![Screen Shot 2017-03-09 at 09.41.25.png_thumb](/public/imported_attachments/1/Screen Shot 2017-03-09 at 09.41.25.png_thumb)
![Screen Shot 2017-03-09 at 09.41.25.png](/public/imported_attachments/1/Screen Shot 2017-03-09 at 09.41.25.png)
![Screen Shot 2017-03-09 at 09.41.38.png_thumb](/public/imported_attachments/1/Screen Shot 2017-03-09 at 09.41.38.png_thumb)
![Screen Shot 2017-03-09 at 09.41.38.png](/public/imported_attachments/1/Screen Shot 2017-03-09 at 09.41.38.png)

brunok

Há uma regra negando tudo TCP/UDP pra todos os SOURCES…
Desative ela para testar...

Lembrando que netbios e consultas DNS usam portas UDP, e suas regras não deixam passar nada nelas.

A regra allow all la no final está de enfeite apenas.

Se quiser, desabilite todas e deixe apenas a allow all para testar. Depois vá fechando o cerco.

do1984

@brunok:

Há uma regra negando tudo TCP/UDP pra todos os SOURCES…
Desative ela para testar...

Lembrando que netbios e consultas DNS usam portas UDP, e suas regras não deixam passar nada nelas.

A regra allow all la no final está de enfeite apenas.

Se quiser, desabilite todas e deixe apenas a allow all para testar. Depois vá fechando o cerco.

Obrigado pela ajuda amigo, fiz mas não adiantou… Mas acabei resolvendo com o bom e velho "desliga TUDO e liga tudo de novo".
Fiz em todos os envolvidos, e "magicamente" começou a funcionar... Vai entender?
Mas muito obrigado mesmo pela atenção...