NAT Reflection não esta funcionando



  • Boa tarde,

    Estou migrando o firewall para o pfsense e tenho instalado a versão 2.3.4-RELEASE (amd64).

    Hoje, alguns serviços da rede interna, são acessados pelo IP publico. Não é o cenário ideal, mas pelo menos por enquanto preciso que esse acesso também seja possível quando migrar para o pfSense.

    Configuração atual do pfSense:

    System -> AdvancedFirewall & NAT -> Network Address Translation:
    NAT Reflection mode for port forwards = Pure Nat
    Enable NAT Reflection for 1:1 NAT = checked
    Enable automatic outbound NAT for Reflection = checked

    Firewall -> NAT -> Port Forward:
    Interface = WAN
    Protocol = TCP
    Destination = Any
    Destination port range = 3393
    Redirect target IP = 192.X.X.X
    Redirect target port = 3389
    NAT reflection = Use system default

    A porta do servico de terminal do windows é so um exemplo e de uma rede externa esta funcionando perfeitamente, porém da minha rede interna não vai.

    Já veriquei o artivo https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks, porém não obtive sucesso.

    Esqueci de fazer algo?

    Desde já agradeço.



  • Já tentou mudar o modo do nat reflection?



  • Esqueci de mencionar marcelloc,  mas ja testei Pure Nat e Nat + Proxy, porém sem sucesso.



  • Bom dia,

    Desabilita o NAT Reflection em System->Advanced.

    E habilita (NAT+Proxy) somente na regra Nat que você precisar.

    como nesse exemplo que você citou:

    "Firewall -> NAT -> Port Forward:
    Interface = WAN
    Protocol = TCP
    Destination = Any
    Destination port range = 3393
    Redirect target IP = 192.X.X.X
    Redirect target port = 3389
    NAT reflection = Use system default"

    Abraços



  • Caro Rogerio,

    Mesmo com as alterações sugeridas, continuo não acessando o serviço na WAN pela rede interna. :-\

    Não sei se tem algo a ver, mas como teste, na configuração da interface WAN, em Reserved Networks, desmarquei "Block private networks and loopback addresses" e "Block bogon networks", mas mesmo assim sem sucesso.



  • Boa tarde,

    Se o acesso externo está funcionando corretamente, não tem erro você pode deixar assim:

    System -> AdvancedFirewall & NAT -> Network Address Translation:
    NAT Reflection mode for port forwards = Pure Nat  <-Disabled
    Enable NAT Reflection for 1:1 NAT = checked        <- Desmarque
    Enable automatic outbound NAT for Reflection = checked <-Desmarque

    Firewall -> NAT -> Port Forward:
    Interface = WAN
    Protocol = TCP
    Destination = Any
    Destination port range = 3393
    Redirect target IP = 192.X.X.X
    Redirect target port = 3389
    NAT reflection = Use system default <-(NAT+Proxy)

    Se suas configurações estão assim e não funcionou, poste suas configurações de firewall.

    Abraços.



  • Caro Rogério,

    Mantive a configuração sugerida e verifiquei minhas regras de firewall na LAN. Havia criado regras para fazer o controle de Banda. Desativei todas e com isso o "NAT reflection" funcionou perfeitamente.

    Action = Pass
    Interface = Lan
    Address Family = IPv4
    Protocol = TCP/UDP
    Source = Single host or Alias (Informei alias criado)
    Destination = Any
    In / Out pipe = (informei os limiters para In/Out criados em Traffic Shaper)

    Esta funcionando o controle de banda, mas agora percebi que quando a ativo o "NAT reflection" não funciona. A maneira que fiz o controle de banda está errado?

    Abraço



  • Deixe as regras de acesso ao nat antes de qualquer outra regra de controle de banda ou regras com Gateway marcado.

    De qualquer forma, sempre recomendo a configuração de um dns interno para não precisar de um nat reflection ou qualquer outra complexidade ou inclusão de ponto de falha desnecessário



  • Obrigado pela resposta Marcello,

    Entendo a sua recomendação e é o que pretendo fazer. Apenas nesse primeiro momento da virada do firewall que gostaria de deixa tudo funcionando do mesmo jeito para minimizar os transtornos. Hoje tenho serviços que em nossa aplicação que faz  chamadas pelo endereço público e vai ser muito difícil mapear. A ideia e virar, deixar estável e ai sim fazer essa alteração.

    Mas não entendi quando disse para deixar as regras de acesso ao NAT antes de qualquer outra regra.

    Regra do Controle da Banda:
    Action = Pass
    Interface = Lan
    Address Family = IPv4
    Protocol = TCP/UDP
    Source = Single host or Alias (Informei alias criado)
    Destination = Any
    In / Out pipe = (informei os limiters para In/Out criados em Traffic Shaper)

    Regra NAT
    Interface = WAN
    Protocol = TCP
    Source = Any
    Destination = Any
    Destination port range = 3393
    Redirect target IP = 192.X.X.X
    Redirect target port = 3389

    A regra de controle de banda esta na LAN e a de NAT está na WAN. Como deixaria a regra de NAT antes dela? Ou está errado na maneira que fiz.

    Abraço



  • @cleomarbastos:

    A regra de controle de banda esta na LAN e a de NAT está na WAN. Como deixaria a regra de NAT antes dela? Ou está errado na maneira que fiz.

    Criando uma regra na lan permitindo o acesso que a estação vai fazer acessando o nat reflection.  Crie no mesmos moldes que você vê na regra de firewall da wan que autoriza o acesso após a tradução do endereço.

    Action = Pass
    Interface = Lan
    Address Family = IPv4
    Protocol = TCP/UDP
    Source = lan net
    Destination = seu servidor interno e/ou seu ip externo
    In / Out pipe = nenhum



  • Qual a configuração da sua WAN, Vem de outro NAT? Só funciona quando o IP público está na sua WAN ou via PPPOe ou pelo roteamento direto da operadora sem NAT no meio.



  • Boa tarde Reginaldo,

    Não vem de outro NAT. O IP público está na WAN sim.