[RESOLVIDO] Site específico não acessa pela WAN, somente pela OPT1



  • Boas Pessoal,

    Sou um novo usuário do pfSense, e venho pesquisando muito pra deixar rodando legal.

    Coloquei em produção, mas estou com problemas em acessar um site específico, por uma das "Wan".
    Esse site é o institucional da empresa que fica no mesmo servidor do webmail (ou seja, não consigo acessar o site, tampouco o webmail)

    Meu cenário:

    WAN - Algar Telecom - ONT em Bridge
    OPT1 - NET Virtua- Modem em Bridge
    LAN - Padrão do pfSense

    Load Balance com o mesmo peso e Tier 1 para ambos links.
    Estou usando DNS Forwarder (configurei os DNS específicos de cada provedor)
    DHCP Server (embora os pcs usem ip fixo)
    Regras de saída do firewall padrão do pfSense
    Usando somente ipv4
    Não tem squid tampouco qualquer proxy ou cache.

    Meu problema somente ocorre na WAN, então fiz os seguintes testes:

    1. Direcionei o tráfego  (via regra de firewall) para a OPT1, os sites foram acessados normalmente.
    2. Conectei um computador direto a ONT que fornece o link da WAN, os sites funcionaram.
    3. Voltei ao cenário inicial (Load Balance) e fixei DNS na máquina. Se sair pela WAN não funciona, se sai pela OPT1 funciona.
    4. Ping ao ip 170.xxx.xxx.xxx do servidor que o site encontra-se hospedado. Se sair pela WAN não funciona, se sai pela OPT1 funciona.

    Minhas conclusões:

    1. Sem passar pelo pfSense, ambos os links funcionam.
    2. Não é problema de DNS

    Alguma sugestão do que posso fazer para tentar sanar este problema?



  • @saut:

    Boas Pessoal,

    Sou um novo usuário do pfSense, e venho pesquisando muito pra deixar rodando legal.

    Coloquei em produção, mas estou com problemas em acessar um site específico, por uma das "Wan".
    Esse site é o institucional da empresa que fica no mesmo servidor do webmail (ou seja, não consigo acessar o site, tampouco o webmail)

    Meu cenário:

    WAN - Algar Telecom - ONT em Bridge
    OPT1 - NET Virtua- Modem em Bridge
    LAN - Padrão do pfSense

    Load Balance com o mesmo peso e Tier 1 para ambos links.
    Estou usando DNS Forwarder (configurei os DNS específicos de cada provedor)
    DHCP Server (embora os pcs usem ip fixo)
    Regras de saída do firewall padrão do pfSense
    Usando somente ipv4
    Não tem squid tampouco qualquer proxy ou cache.

    Meu problema somente ocorre na WAN, então fiz os seguintes testes:

    1. Direcionei o tráfego  (via regra de firewall) para a OPT1, os sites foram acessados normalmente.
    2. Conectei um computador direto a ONT que fornece o link da WAN, os sites funcionaram.
    3. Voltei ao cenário inicial (Load Balance) e fixei DNS na máquina. Se sair pela WAN não funciona, se sai pela OPT1 funciona.
    4. Ping ao ip 170.xxx.xxx.xxx do servidor que o site encontra-se hospedado. Se sair pela WAN não funciona, se sai pela OPT1 funciona.

    Minhas conclusões:

    1. Sem passar pelo pfSense, ambos os links funcionam.
    2. Não é problema de DNS

    Alguma sugestão do que posso fazer para tentar sanar este problema?

    Fala fera saut,

    Como está configurado o modo de reflexão do seu NAT ?

    Tente ver em:

    System > Advanced > Firewall & NAT > Network Address Translation > NAT Reflection mode for port forwards > NAT + proxy.

    The pure NAT mode uses a set of NAT rules to direct packets to the target of the port forward. It has better scalability, but it must be possible to accurately determine the interface and gateway IP used for communication with the target at the time the rules are loaded. There are no inherent limits to the number of ports other than the limits of the protocols. All protocols available for port forwards are supported.
    The NAT + proxy mode uses a helper program to send packets to the target of the port forward. It is useful in setups where the interface and/or gateway IP used for communication with the target cannot be accurately determined at the time the rules are loaded. Reflection rules are not created for ranges larger than 500 ports and will not be used for more than 1000 ports total between all port forwards. Only TCP and UDP protocols are supported.
    Individual rules may be configured to override this system setting on a per-rule basis.

    Assim sendo, post seu print do seu balanceamento e as regras utilizadas fera!

    Para mais, segue o meu contato abaixo!

    Abraços



  • Então, acho que falhei ao me expressar…

    O NAT Reflection está ativo, massss, o "servidor" que estou tendo problema em acessar está na WEB, não na minha rede, então não tem relação com o NAT Reflection. A propósito, o NAT reflection está funcionando legal.






  • @saut:

    Então, acho que falhei ao me expressar…

    O NAT Reflection está ativo, massss, o "servidor" que estou tendo problema em acessar está na WEB, não na minha rede, então não tem relação com o NAT Reflection. A propósito, o NAT reflection está funcionando legal.

    Pode postar a sua regra do NAT através da WAN ?

    Obs1: Realiza um telnet na porta do serviço de escuta (externa)
    Obs2: Verifica com tcpdump (no fw ) se realiza o Nat e o encaminhamento do pacote até o servidor interno
    Obs3:  verifica se há conexão estabelecida no servidor interno com o comando:
    (windows)```
    netstat -an | findstr  (porta)

    
    (linux)
    

    netstat -nat | grep (porta)

    
    Qualquer coisa me chama no skype "saut"
    
    Abraços


  • Você precisa informar mais detalhes, que pacotes e configurações a mais você tem.
    Eu tive um problema parecido onde eu tinha traffic shape bloqueando o trafego p2p e o pfsense acabava reconhecendo um site com como sendo dessa categoria. refiz a configuração e o problema foi resolvido, veja  nos logs do firewall quando você tenta acessar veja se aparece algum bloqueio, (filtre pelo seu ip e fique atualizando a pagina)



  • Descobri a fonte do problema.

    Hoje, um dos usuários me chamou, informando que seu "Live Mail" não estava funcionando.
    Ao checar, constatei erro na configuração de saída, o SMTP estava configurado com a porta 25, quando o servidor usa a por 587.
    Diante disso, suponho que por varias tentativas falhas de conexão, o servidor bloqueou meu IP.

    Minha ONT está em bridge, e disponibiliza um IP Dinâmico (DHCP) diretamente para a placa de rede.
    Quando conectei meu notebook ao ONT do Link, recebi um IP novo, por isso consegui navegar no site normalmente.
    No entanto, quando voltei o cabo da ONT para o servidor, ele recebeu o IP antigo, que estava bloqueado no site.

    Resumindo, deixei a ONT desligada por cerca de 2 horas, em seguida liguei novamente o recebi um novo ip, o que fez tudo voltar ao normal.



  • @saut:

    Descobri a fonte do problema.

    Hoje, um dos usuários me chamou, informando que seu "Live Mail" não estava funcionando.
    Ao checar, constatei erro na configuração de saída, o SMTP estava configurado com a porta 25, quando o servidor usa a por 587.
    Diante disso, suponho que por varias tentativas falhas de conexão, o servidor bloqueou meu IP.

    Minha ONT está em bridge, e disponibiliza um IP Dinâmico (DHCP) diretamente para a placa de rede.
    Quando conectei meu notebook ao ONT do Link, recebi um IP novo, por isso consegui navegar no site normalmente.
    No entanto, quando voltei o cabo da ONT para o servidor, ele recebeu o IP antigo, que estava bloqueado no site.

    Resumindo, deixei a ONT desligada por cerca de 2 horas, em seguida liguei novamente o recebi um novo ip, o que fez tudo voltar ao normal.

    Fera, coloque como resolvido.
    E fui eu que acessei remotamente e mostrei o problema do bloqueio do seu IP de saída ?

    Abraços!



  • @pskinfra:

    @saut:

    Descobri a fonte do problema.

    Hoje, um dos usuários me chamou, informando que seu "Live Mail" não estava funcionando.
    Ao checar, constatei erro na configuração de saída, o SMTP estava configurado com a porta 25, quando o servidor usa a por 587.
    Diante disso, suponho que por varias tentativas falhas de conexão, o servidor bloqueou meu IP.

    Minha ONT está em bridge, e disponibiliza um IP Dinâmico (DHCP) diretamente para a placa de rede.
    Quando conectei meu notebook ao ONT do Link, recebi um IP novo, por isso consegui navegar no site normalmente.
    No entanto, quando voltei o cabo da ONT para o servidor, ele recebeu o IP antigo, que estava bloqueado no site.

    Resumindo, deixei a ONT desligada por cerca de 2 horas, em seguida liguei novamente o recebi um novo ip, o que fez tudo voltar ao normal.

    Fera, coloque como resolvido.
    E fui eu que acessei remotamente e mostrei o problema do bloqueio do seu IP de saída ?

    Abraços!

    pskinfra, valeu pelo apoio e testes realizados.


Log in to reply