RESOLVIDO - Problema com NAT



  • Subi um novo pfsense na versão 2.3.4 e estou com problemas para acessar remotamente alguns serviços da empresa pelo IP público, antes funcionava sem problemas, mas já reinstalei 2 vezes e não consigo fazer funcionar, consigo acessar o webgui Pfsense, e o SSH sem problemas, mas outros servidores não consigo acessar.
    Alguém pode me dar uma ajuda nisso?



  • Já tentou mudar de porta? Tem restrições de porta? Vai em System Log - Firewall - Normal view e veja os log que estão chegando. Depois veja a porta que está sendo barrada e no sinal de + para adicionar a rota.



  • Tenho várias portas criadas NAT para acessar, e nenhuma que seja via web estou conseguindo, somente via SSH.
    Infelizmente não consegui verificar no System logs, se coloco a porta de destino não aparece nada, tem outro lugar que posso verificar?



  • Me fala o que exatamente tu ta querendo fazer. Qual a NAT tu quer fazer.



  • Tenho alguns PABX e Servidores que acesso via WEB, por exemplo na minha rede se acessar o IP 192.168.1.51 me abre o relatório do nobreak, se acessar o IP 192.168.1.50 porta 443 abre o PABX, e assim por diante, então criei o NAT para de fora da empresa quando acessar o IP público que tenho destinado a porta X encaminhar para o IP interno porta X.
    Não sei se estou conseguindo me fazer entender?



  • Entendi perfeitamente. Posta um print da configuração da NAT.



  • segue o print dos NAT, para as portas SSH estão funcionando, para o restante não




  • Edite a regra da porta 4433



  • Estava com o squid autenticando local, cancelei a autenticação e consegui acessar a maioria dos NAT, somente essa porta 443 que não consegui, alterei para a porta HTTPS padrão, será que é por ser HTTPS que não está dando certo?




  • Em: Redirct target port coloque a mesma porta da regra e tenta acessar



  • eu deixei ambas como 443 agora e mesmo assim não acessa, está dando time out, peguei um log no roteador do link que mostra apenas enviando a solicitação para o PFsense mas sem resposta, como faço para ver o log completo do pfsense? aonde posso fazer isso?



  • Lá onde tem a porta 443(https)  você colocou a porta de acesso 4433? Status - System log



  • ficou assim agora, conforme imagem.
    só está dando esse problema para porta 443, a porta 80 não tem mais problemas




  • Ta errado mano.
    Faça o seguinte troque tudo onde tem https para Other e coloca a porta 4433.



  • @julioelbueno:

    segue o print dos NAT, para as portas SSH estão funcionando, para o restante não

    Estão todas corretas. Consegue monitorar com o tcpdump se o pacote está saindo do firewall para o servidor? Está com o firewall em paralelo com o antigo ou substituiu?

    @julioelbueno:

    Estava com o squid autenticando local, cancelei a autenticação e consegui acessar a maioria dos NAT, somente essa porta 443 que não consegui, alterei para a porta HTTPS padrão, será que é por ser HTTPS que não está dando certo?

    Não era para interferir nos seus nats. Tem certeza que não está  habilitando ele transparente e/ou na interface errada como a wan por exemplo?

    Os nats externos não deveriam estar caindo no log do squid.



  • Marcelo, eu substitui o firewall, e não esta em transparente, deixe autenticando local, e depois desmarquei tudo para ver se resolvia, está na interface certa, pois como costa na  imagem tenho 6 NATs configurado e apenas 1 com problema, que é para a porta HTTPS, os que são para SSH ou porta 80 estão rodando normalmente.
    No Tcpdump vejo entrando no interface wan mas não vejo entrando no firewall




  • Repete esse tcpdump na lan, com o ip do servidor interno.



  • Segue o tcpdump para o IP interno, está chegando mas ele não responde pelo que entendi




  • @julioelbueno:

    Segue o tcpdump para o IP interno, está chegando mas ele não responde pelo que entendi

    Exatamente. O problema não está no seu pfSense.

    Destive o fw do windows para testar e verifique tabela de roteamento, gateways, etc nesse servidor.



  • Marcelo muito obrigado pela ajuda, realmente o problema era o servidor e não o PFsense, agradeço pela ajuda sua e do danilo


Log in to reply