Acessar com IP Externo na LAN

paulonevesjf

Olá para todos,
Na empresa utilizamos utilizamos o Portal da TOTVS, criei uma regra de NAT para acessar externamente e funcionar 100%.
Fiz o teste na minha residência e entro no sistema web beleza.
Porém na empresa quando tento acessar o mesmo IP Externo na LAN não consigo acessar.
Tentei as dicas dos tópicos abaixo, mas não conseguir acessar.

• https://forum.pfsense.org/index.php?topic=83978.0
  https://forum.pfsense.org/index.php?topic=125567.0

Procedimentos realizados:

• Na regra de nat criada alterei a opção NAT reflection Enable (NAT + Proxy)  e para Enable(PureNAT), mas não acessou.
  Então fui em System > Advanced >  Firewall & NAT habilitei a opção Enable automatic outbound NAT for Reflection, porém sem sucesso.
  Por fim  em System > Advanced >  Firewall & NAT  NAT Reflection mode for port forwards marquei Enable (NAT + Proxy)  e para Enable(PureNAT), mas não acessou.

Alguém tem mais uma dica do que possa marcar de parâmetro que faltou?
OBS: O sistema web da TOTVS utiliza porta 80

paulonevesjf

Gostaria de acrescentar sempre retorna a página do Squid

ERRO
A URL requisitada não pôde ser recuperada
O sistema retornou: (60) Operation timed out
O host ou rede remota pode estar fora do ar. Por favor, faça a requisição novamente.

andrezaomac

@paulonevesjf:

Olá para todos,
Na empresa utilizamos utilizamos o Portal da TOTVS, criei uma regra de NAT para acessar externamente e funcionar 100%.
Fiz o teste na minha residência e entro no sistema web beleza.
Porém na empresa quando tento acessar o mesmo IP Externo na LAN não consigo acessar.
Tentei as dicas dos tópicos abaixo, mas não conseguir acessar.

• https://forum.pfsense.org/index.php?topic=83978.0
  https://forum.pfsense.org/index.php?topic=125567.0

Procedimentos realizados:

• Na regra de nat criada alterei a opção NAT reflection Enable (NAT + Proxy)  e para Enable(PureNAT), mas não acessou.
  Então fui em System > Advanced >  Firewall & NAT habilitei a opção Enable automatic outbound NAT for Reflection, porém sem sucesso.
  Por fim  em System > Advanced >  Firewall & NAT  NAT Reflection mode for port forwards marquei Enable (NAT + Proxy)  e para Enable(PureNAT), mas não acessou.

Alguém tem mais uma dica do que possa marcar de parâmetro que faltou?
OBS: O sistema web da TOTVS utiliza porta 80

Por que dentro da rede vcs não acessam pelo IP real do servidor?? invés de usar o externo!!

Se vc possui SquidGuardian verifica se está bloqueado o acesso por IP!! função: Do not allow IP-Addresses in URL (deixa desmarcado)

firetxelo

Na regra de NAT voĉe pode deixar como padrão do sistema pois fez alteração em System Advanced. Marques as opções Enable NAT Reflection for 1:1 NAT e Enable automatic outbound NAT for Reflection.

NAT Reflection mode for port forwards tem q ficar mesmo como Pure NAT.

Isso está corretos. Confira se realmente está assim no seu ambiente. Se estiver, vá até o squid ou squiduard e libere o trafego. Vá até o Squid, na aba Real Time e confira se aparece algum bloqueio lá.

paulonevesjf

Olá andrezaomac, acessar pelo IP interno sem problema, conseguimos até utilizar.
Porém esse portal tem um recurso de aprovação de pedidos que consiste em disparar um email para o usuário e dentro desse email possui link tanto para Aprovação e Reprovação.
A aplicação só permitir informar exclusivamente um IP, devido  a esse motivo tenho que liberar o IP externo na LAN, pois os gestores irão poder aprovar os pedidos na rede lan e fora dela também.

paulonevesjf

@firetxelo:

Na regra de NAT voĉe pode deixar como padrão do sistema pois fez alteração em System Advanced. Marques as opções Enable NAT Reflection for 1:1 NAT e Enable automatic outbound NAT for Reflection.

NAT Reflection mode for port forwards tem q ficar mesmo como Pure NAT.

Isso está corretos. Confira se realmente está assim no seu ambiente. Se estiver, vá até o squid ou squiduard e libere o trafego. Vá até o Squid, na aba Real Time e confira se aparece algum bloqueio lá.

Olá firetxelo, com suas dicas conseguir acessar o sistema da empresa, porém sem proxy na estação,  com proxy não acessa.
Na empresa utilizo proxy autenticado com squidguard, tenho um target categories com o nome excecoes coloquei o IP da aplicação a fim de liberar o acesso, mas tive sucesso.
Teria alguma outra dica?

firetxelo

vai la no real time e filtra pelo ip da maquina onde vc ta tentando acessar… se aparecer o bloqueio quadro de baixo tem que liberar no squidguard, nessa lista que voce fez... caso apareça só em cima... é necessário liberar na aba acl do squidtbm

paulonevesjf

Olá firetxelo,
Fiz o teste que você mencionou, verifiquei que o proxy esta aplicando a regra default que no meu caso é tudo bloqueado e não permitida navegar sites por IP, estão utilizei a lista excecoes e coloquei como whitelist e dentro de excecoes fui em Domain List e adicionei o IP Público.
Após essa mudança percebi que no Log SquidGuard Table não registrou mais nada após o horário da modificação.

Porém no log Squid Access Table status como  TCP_MISS/503 e no campo user apenas um traço "-" então fui no squid proxy server > acls > whitelist e adicionei o IP Público, mas ainda não acessa.

firetxelo

Ainda mostra o bloqueio?

Tente desmarcar para proibir acesso via ip só para teste.

L1P3

Interessante que passo pelo mesmo problema, e fiz todos os testes que nosso amigo realizou..!

paulonevesjf achou alguma solução? Pois sempre fiz o procedimento do NAT REFLECTION e sempre funcionou normal nas versões anteriores do pfsense, a que estou utilizando no momento é a 2.3.4-RELEASE-p1

O interessante é que deixando o squid desabilitado funciona normalmente, ativando o squid (versão 3.5.26) ele retorna com timeout, já fiz todas as liberações na whitelist mais sem chance.

No real time o log é TCP_MISS/503 ou TCP_MISS_ABORTED/000

e a página é do squid server com o sistema retornando com timeout (60)

firetxelo

O proxy é transparente? ele está saindo pelo gateway default?

L1P3

Ele não é transparente é com autenticação local port 3128

firetxelo

mesmo você fazendo uma lista branca com esses ip's ele continua bloqueando?

L1P3

Sim eu coloquei na lista branca e continua retornando timeout, meu cenário é idêntico ao nosso amigo do tópico, criei uma regra nat+proxy apontando o endereço externo para o IP interno que contém um sistema de chamados, o interessante é que quando eu coloco as estações fora do proxy a regra funciona corretamente, mais é só voltar com a configuração do proxy nos navegadores (Proxy autenticado local) que ele processa, processa, processa e retorna o timeout no squid.  :-.

vsaad

ME CORRIJAM SE ESTIVER ERRADO.

Vc usa DNS no PFSesne?

Acredito q se vc criar uma entrada DNS fixa no seu DNS Server apontando o path para o ip local, resolveria seu problema.

L1P3

vsaad desculpa minha ignorância, mais eu criaria isso em DNS RESOLVER? Se sim, como eu faria?

vsaad

Não precisa se desculpar. Talvez esse procedimento não funcione para vc, Se alguem ver algum erro abaixo, favor me alertar.

Vou dar uma rapida explicacao de DNS.

Nas redes temos o DNS LOCAL para os nomes da rede local,
Exemplo: Nomedoservidor = 192.168.0.1
Se por exemplo vc quiser acessar a pasta compartilhada do servidor vc pode usar tanto \nomedoservidor como \192.168.0.1

Isso eh o DNS LOCAL, Não confunda com o DNS externo da internet, que faz o mesmo papel, porém na internet.
Exemplo:
http://www.globo.com = http://186.192.81.5

Eu não uso DNS no PFSense, porém qualquer DNS faz o mesmo trabalho, de resolver o nome certo? A unica coisa que precisamos fazer é adicionar uma entrada manual indicando p ele qual IP ele deve procurar ao usarmos o hostname.

Entao:
Localize o seu servidor DNS, tenha certeza onde ele está, Muitos administradores preferem usar servidor windows por causa do Dominio/AD.
Vc pode usar o ipconfig /all em qualquer estacao que o seu DNS Server será mostrado. (se possivel posta p gente)

Se for no PFSENSE, vc pode usar o DNS Resolver sim, adiciona uma entrada manual no DNS Resolver no HOST OVERRIDES. Segue os exemplos e poe o ip local.

Crie uma entrada com o nome do website no dns apontando para o IP na rede local do servidor.
Exemplo:
www.meusite.com = 192.168.0.1

De forma que ao digitar no browser www.meusite.com o dns local vai resolver antes mesmo da requisição ir para o DNS Externo, Vai manter o path no browser(alguns sites dao erro se vc acessar pelo ip).

Use o ping www.meusite.com para testar, o IP local tem q retornar.

Teoricamente eh isso, agora tem q ir p pratica!

Boa Sorte!!!

@L1P3:

vsaad desculpa minha ignorância, mais eu criaria isso em DNS RESOLVER? Se sim, como eu faria?

L1P3

@vsaad:

Não precisa se desculpar. Talvez esse procedimento não funcione para vc, Se alguem ver algum erro abaixo, favor me alertar.

Vou dar uma rapida explicacao de DNS.

Nas redes temos o DNS LOCAL para os nomes da rede local,
Exemplo: Nomedoservidor = 192.168.0.1
Se por exemplo vc quiser acessar a pasta compartilhada do servidor vc pode usar tanto \nomedoservidor como \192.168.0.1

Isso eh o DNS LOCAL, Não confunda com o DNS externo da internet, que faz o mesmo papel, porém na internet.
Exemplo:
http://www.globo.com = http://186.192.81.5

Eu não uso DNS no PFSense, porém qualquer DNS faz o mesmo trabalho, de resolver o nome certo? A unica coisa que precisamos fazer é adicionar uma entrada manual indicando p ele qual IP ele deve procurar ao usarmos o hostname.

Entao:
Localize o seu servidor DNS, tenha certeza onde ele está, Muitos administradores preferem usar servidor windows por causa do Dominio/AD.
Vc pode usar o ipconfig /all em qualquer estacao que o seu DNS Server será mostrado. (se possivel posta p gente)

Se for no PFSENSE, vc pode usar o DNS Resolver sim, adiciona uma entrada manual no DNS Resolver no HOST OVERRIDES. Segue os exemplos e poe o ip local.

Crie uma entrada com o nome do website no dns apontando para o IP na rede local do servidor.
Exemplo:
www.meusite.com = 192.168.0.1

De forma que ao digitar no browser www.meusite.com o dns local vai resolver antes mesmo da requisição ir para o DNS Externo, Vai manter o path no browser(alguns sites dao erro se vc acessar pelo ip).

Use o ping www.meusite.com para testar, o IP local tem q retornar.

Teoricamente eh isso, agora tem q ir p pratica!

Boa Sorte!!!

@L1P3:

vsaad desculpa minha ignorância, mais eu criaria isso em DNS RESOLVER? Se sim, como eu faria?

vsaad agradeço muito sua ajuda, sua explicação me fez repensar no servidor de DNS que estava sendo resolvido pelo Windows, então provavelmente o retorno para o endereço interno mesmo com o NAT reflection (NAT + PROXY) estava se perdendo.
O que eu fiz para resolver foi adicionar o endereço externo na lista de exceções dos navegadores nas opções de conexões.

Fica a dica para os demais companheiros..!

Muito obrigado  ;D ;D ;D

vsaad

Maravilha!
Edita o subject do primeiro post, coloca resolvido e marca a resposta como thank you!