Pfsense não se comunica com servidor RESOLVIDO



  • olá pessoal boa tarde !

    Trabalho em uma empresa onde temos um pfsense 2.2.6-RELEASE (amd64) com 2 WAN e 1 LAN configurados e temos 2 windows servers, um 2008 e um 2012.

    Todos os redirecionamentos de porta para o 2012 funcionam perfeitamente, mas nenhum redirecionamento para o 2008 funciona.
    Temos o pacote do NMAP e quando peço para ele escanear o 2008 recebo a mensagem de que All 1000 scanned ports on  are filtered. Já para o 2012 o resultado mostra todas as portas abertas.
    Pfsense e 2008 no mesmo swtich sem gerenciamento algum

    Abaixo descrevo os testes que fiz:
    Telnet da minha estação para o 2008 conecta em todas as portas.
    Nmap do meu ubuntu para o 2008 mostra todas as portas abertas.
    Redirecionei algumas das portas que tinham como destino o 2008 para outras máquinas e o acesso funciona normalmente.
    Troquei a porta do 2008 no switch

    Alguem tem idéia do que possa estar acontecendo ?

    Obrigado e abraço



  • Informação importante que eu esqueci de incluir.

    Os redirecionamentos para o 2008 funcionavam corretamente até sexta-feira quando desligamos os servidores.
    Quando religamos tudo segunda-feira que pararam de funcionar.

    Desculpem não ter incluído isso antes



  • redirecionamento seria um nat da wan para os servidores?

    Seus servidores estão em um segmento de rede diferente das estações?



  • Olá marcelloc obrigado pelo retorno.

    sim um nat da wan para os servidores
    o pfsense e os servidores e estações estao na mesma rede 192.168.0.0

    obrigado !



  • Já tentou usar o dhcp static ou dar um dcpdump e ver onde ta morrendo a comunicação?



  • olá danilo obrigado pelo retorno.

    desculpe minha falta de conhecimento, mas dhcp static vc quer dizer usar um ip fixo no servidor ?
    vou procurar um tuto de como usar o tcpdump e ver o resultado.

    obrigado !



  • Uma pergunta. Quem é o seu DHCP Server na sua rede? DHCP Static são as reservas de IP na sua rede.



  • @mauro5599:

    vou procurar um tuto de como usar o tcpdump e ver o resultado.

    aqui no forum tem, na parte de tutoriais.

    veja se os pacotes estão chegando na wan e em outra console aberta ao mesmo tempo, veja se o pacote sai pela lan  com destino ao servidor.



  • obrigado pelas respostas.

    meu dhcp é o windows 2008, nele só existem algumas reservas para alguns computadores da diretoria.

    achei a pagina no forum com o tutotial do tcpdump.

    não tenho acesso remoto aos servidores, so vou conseguir ver amanha ai posto o resultado do tcpdump.

    mais uma vez muito obrigado !



  • Bom dia ! rodei o tcpdump e o resultado está abaixo. Minhas interfaces são bge0=lan bce0=wan
    Se eu apontar essa porta 1723 para outro ip funciona perfeitamente. Só não funciona nada para o 192.168.0.2

    [2.2.6-RELEASE][admin@firewall.xxx.xxx]/root: tcpdump -ni bce0 host 192.168.0.2
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on bce0, link-type EN10MB (Ethernet), capture size 65535 bytes
    capability mode sandbox enabled
    08:05:10.362025 IP 201.6.173.55.4812 > 192.168.0.2.1723: Flags ~~, seq 757240203, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    08:05:13.367660 IP 201.6.173.55.4812 > 192.168.0.2.1723: Flags ~~, seq 757240203, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    08:05:19.363607 IP 201.6.173.55.4812 > 192.168.0.2.1723: Flags ~~, seq 757240203, win 8192, options [mss 1460,nop,nop,sackOK], length 0
    ^C
    3 packets captured
    10830 packets received by filter
    0 packets dropped by kernel

    [2.2.6-RELEASE][admin@xxx.xxx.xxx]/root: tcpdump -ni bce0 port 1723
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on bce0, link-type EN10MB (Ethernet), capture size 65535 bytes
    capability mode sandbox enabled
    08:05:10.361992 IP 201.6.173.55.4812 > 179.184.249.50.1723: Flags , seq 757240203, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    08:05:10.362025 IP 201.6.173.55.4812 > 192.168.0.2.1723: Flags , seq 757240203, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    08:05:13.367647 IP 201.6.173.55.4812 > 179.184.249.50.1723: Flags , seq 757240203, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    08:05:13.367660 IP 201.6.173.55.4812 > 192.168.0.2.1723: Flags , seq 757240203, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    08:05:19.363597 IP 201.6.173.55.4812 > 179.184.249.50.1723: Flags , seq 757240203, win 8192, options [mss 1460,nop,nop,sackOK], length 0
    08:05:19.363607 IP 201.6.173.55.4812 > 192.168.0.2.1723: Flags , seq 757240203, win 8192, options [mss 1460,nop,nop,sackOK], length 0
    ^C
    6 packets captured
    10333 packets received by filter
    0 packets dropped by kernel
    ~~~~~~



  • Tu tem dois AD na tua rede, certo? E um deles não se comunica com o pfsense?Tu já colocou o IP manual nesse outro serv que não comunica?



  • Obrigado pelo retorno !

    Esse que não comunica é o DHCP e o controlador do AD, ele tem o ip fixo 192.168.0.2.
    Já desativei a firewall do windows e mesmo assim nao conecta. Mas é so o pfsense que não consegue conectar nele.
    De qualquer outro computador da rede as conexoes são feitas normalmente. Telnet conecta nmap mostra as portas abertas mas só o pfsense que não consegue.
    Esse 2008 tem uma placa de rede dual, a segunda fica sempre desativada. Hoje eu ativei ela, fixei um ip e exatamente o mesmo cenário, o pfsense não enxerga nada nela enquanto qualquer outro computador da rede enxerga.



  • Faça um teste. Desabilita o DHCP dessa máquina e deixa o teu pfsense como DHCP da tua rede.



  • vou ter que esperar o final do expediente pra fazer esse teste.
    depois falo o resultado

    obrigado !



  • Desconfio que tem dois servidores DHCP na sua rede. Veja todos os servidores, roteadores etc. Veja quem está com o DHCP ativo.



  • @mauro5599:

    Obrigado pelo retorno !

    Esse que não comunica é o DHCP e o controlador do AD, ele tem o ip fixo 192.168.0.2.
    Já desativei a firewall do windows e mesmo assim nao conecta. Mas é so o pfsense que não consegue conectar nele.
    De qualquer outro computador da rede as conexoes são feitas normalmente. Telnet conecta nmap mostra as portas abertas mas só o pfsense que não consegue.
    Esse 2008 tem uma placa de rede dual, a segunda fica sempre desativada. Hoje eu ativei ela, fixei um ip e exatamente o mesmo cenário, o pfsense não enxerga nada nela enquanto qualquer outro computador da rede enxerga.

    Vc tem algum anti-vírus instalado nesse Servidor AD ???

    Ja passei por caso parecido, tenho um cliente com gerenciado por AD, e a vezes uma determinado computador não conseguia acessar os compartilhamento…etc. Depois de um tempo eu descobri o problema, era o anti-vírus do Servidor que bloqueava o acesso do computador.
    No caso aqui era o Kapersky.



  • desculpem pela demora mas não tenho muito tempo para fazer testes a não ser no final do expediente pois a maquina esta em produção.

    @danilosv.03:

    Desconfio que tem dois servidores DHCP na sua rede. Veja todos os servidores, roteadores etc. Veja quem está com o DHCP ativo.

    danilo, chequei e não existe nenhum outro dispositivo com o dhcp habilitado na rede não.
    @andrezaomac:

    @mauro5599:

    Obrigado pelo retorno !

    Esse que não comunica é o DHCP e o controlador do AD, ele tem o ip fixo 192.168.0.2.
    Já desativei a firewall do windows e mesmo assim nao conecta. Mas é so o pfsense que não consegue conectar nele.
    De qualquer outro computador da rede as conexoes são feitas normalmente. Telnet conecta nmap mostra as portas abertas mas só o pfsense que não consegue.
    Esse 2008 tem uma placa de rede dual, a segunda fica sempre desativada. Hoje eu ativei ela, fixei um ip e exatamente o mesmo cenário, o pfsense não enxerga nada nela enquanto qualquer outro computador da rede enxerga.

    Vc tem algum anti-vírus instalado nesse Servidor AD ???

    Ja passei por caso parecido, tenho um cliente com gerenciado por AD, e a vezes uma determinado computador não conseguia acessar os compartilhamento…etc. Depois de um tempo eu descobri o problema, era o anti-vírus do Servidor que bloqueava o acesso do computador.
    No caso aqui era o Kapersky.

    andre tem um bitdefender nesse servidor, já fizemos o teste desabilitando ele e não resolve, desabilitamos a firewall do windows tambem e não vai.

    pelo que vejo o problema é só entre o pfsense e o 2008.

    não consigo imaginar o que está causando isso.



  • Faz isso que eu te disse. Deixa o pfsense como teu servidor DHCP na tua rede.



  • pessoal consegui contornar o problema aqui.

    a placa do 2008 é dual, fixei um ip na segunda interface e reiniciei o server 2008 e o pfsense e funcionou.

    ainda não consegui resolver o problema do pfsense 192.168.0.1 para o server 2008 192.168.0.2 todas as portas ficam bloqueadas.

    com a segunda interface com o ip 192.168.0.18 funcionou perfeitamente.

    vou continuar tentando e quando descobrir posto aqui

    muito obrigado pela atenção de todos !

    abraço



  • @mauro5599:

    pessoal consegui contornar o problema aqui.

    a placa do 2008 é dual, fixei um ip na segunda interface e reiniciei o server 2008 e o pfsense e funcionou.

    ainda não consegui resolver o problema do pfsense 192.168.0.1 para o server 2008 192.168.0.2 todas as portas ficam bloqueadas.

    com a segunda interface com o ip 192.168.0.18 funcionou perfeitamente.

    vou continuar tentando e quando descobrir posto aqui

    muito obrigado pela atenção de todos !

    abraço

    mauro5599, Sua interface .0.2 ta com todas as settings de default gw corretas? Eu ja vi servidores perderem o gateway padrao das configs da placa de rede ao reiniciar.



  • agradeço o tempo de todos que tentaram ajudar !

    hoje consegui identificar o problema.
    na placa que estava com o ip final 2 tinham dois protocolos desativados, os protocolos eram:
    driver de e/s do mapeador de descoberta de topologia
    respondente de descoberta de topologia de camada

    ativei os dois e funcionou na hora, o que mais me intriga é que sempre funcionou com esses dois protocolos desativados.

    muito obrigado a todos !



  • Edita seu primeiro post como RESOLVIDO.



  • Boa tarde mauro5599,

    Seu servidor Windows não é IP estático?

    Se não, deixe ele com IP estático (fixo) e ajuste o NAT para o IP fixo.



  • @apesjr:

    Boa tarde mauro5599,

    Seu servidor Windows não é IP estático?

    Se não, deixe ele com IP estático (fixo) e ajuste o NAT para o IP fixo.

    sim ele é fixo, o NAT estava apontando para o ip fixo sim.
    o problema eram esses dois protocolos desativados, mas agora já está funcionando corretamente.



  • @danilosv.03:

    Edita seu primeiro post como RESOLVIDO.

    vou fazer.

    obrigado !