[RESOLVIDO] Port Forward do RDP não funciona - Ajuda



  • Preciso de ajuda dos amigos, sou novo no universo pfSense e me deparei com um problema que não consigo resolver, já analisei inumeros posts e mesmo assim não consegui redirecionar a porta do RDP 3389 para um micro da rede, embora seja simples não está funcionando.

    Meu cenário atual:

    pfSense 2.4.3 RELEASE (amd64)
    2 WAN e 1 LAN (a WAN é pppoe e a WAN2 é IP inválido)
    Tenho configurado FailOver utilizando um grupo de Gateway (DualWAN) com WAN e WAN2
    Está configurado Squid (proxy transparente sem filtragem HTTPS/SSL) + SquidGuardian (desativado antivirus)
    UPnP e NT-PMP habilitado.

    Fiz o PortForward conforme a figura1
    Em Firewall / WAN /Rule esta como na figura2
    Em Status / System Logs / Firewall / Normal View aparece como na figura3.

    Aparentemente é para estar funcionando mas não consigo conectar remotamente no RDP do computador da rede.
    Se eu retiro o servidor pfSense e coloco um roteador com port forward configurado direcionando para o computador eu consigo conectar remotamente no RDP do Windows, ou seja, o RDP está OK.

    Detalhe: a conexão remota no RDP entrará somente pela internet da WAN (que é pppoe e ip fixo).

    Preciso de uma ajuda pois já tentei inumeras configurações que encontrei no forum porem nenhum funcionou.







  • Desativa o failover para onip do servidor do rdp e testa o acesso novamente.

    Outra opção é monitorar o tráfego na wan e lan prs ver se o pacote está indo para o servidor rdp.



  • @marcelloc:

    Desativa o failover para onip do servidor do rdp e testa o acesso novamente.

    Outra opção é monitorar o tráfego na wan e lan prs ver se o pacote está indo para o servidor rdp.

    Desativei o Failover e funcionou o redirecionamento do RDP.

    Eu fiz o Failover da seguinte forma: criei um grupo de Gateway chamado DualWAN, coloquei a WAN como Tier1 e WAN2 como Tier2, habilitei o "Default gateway switching" (em System/Advanced/Miscellaneous), em Firewall/Rules/Floating criei a regra de "in" e "out" para o Gateway "DualWAN".

    O que fiz de errado?
    Tem alguma outra forma de fazer o Failover que consiga deixar funcionando o redirecionamento de portas?



  • Por que você tem uma segunda WAN definida como gateway e IP privado (inválido)?

    Se o IP privado estiver ativo como gateway a respostas do RDP irão por ele, sairão para onde? Como vão retornar com um outro IP de origem, diferente da WAN, sua conexão não vai se estabelecer.

    Coloque um sniffer no micro onde você está iniciando o RDP e observe os pacotes para confirmar se isso está ocorrendo.



  • @MilaniBR:

    O que fiz de errado?
    Tem alguma outra forma de fazer o Failover que consiga deixar funcionando o redirecionamento de portas?

    Tem sim. Crie as regras nas interfaces internas. Load balance em interface externa não faz sentido. O que chega pela wan, precisa voltar pela mesma wan.



  • @jorlando:

    Por que você tem uma segunda WAN definida como gateway e IP privado (inválido)?

    Tenho 2 internet na minha empresa, 1 na WAN como pppoe (que quando conectado recebe o ip válido que é fixo) e 1 na WAN2 que recebe o ip 192.168.2.10 pois quem libera este IP é o provedor a radio que está conectado através de uma rede wireless. Como na conexão a radio é complicado fazer direcionamento de portas, no failover eu criei regra para receber a conexão RDP (externa) somente pela WAN é que da conexão pppoe com ip fixo.

    @jorlando:

    Se o IP privado estiver ativo como gateway a respostas do RDP irão por ele, sairão para onde? Como vão retornar com um outro IP de origem, diferente da WAN, sua conexão não vai se estabelecer.

    Coloque um sniffer no micro onde você está iniciando o RDP e observe os pacotes para confirmar se isso está ocorrendo.

    Como eu configurei para entrada e saida do RDP para a WAN achei que iria funcionar, não imaginei que tendo 2 gateways ( configurado no grupo DualWAN como tier1 (WAN) e tier2 (WAN2) ) poderia ocorrer isso.

    Quanto a sniffer, indica algum que seja mais simples de utilizar?



  • @marcelloc:

    Tem sim. Crie as regras nas interfaces internas. Load balance em interface externa não faz sentido. O que chega pela wan, precisa voltar pela mesma wan.

    Eu criei as regras de Failover seguindo a documentação do pfSense ( https://doc.pfsense.org/index.php/Multi-WAN ).

    Poderia me ajudar em como criar as regras na interface interna?

    Não pretendo utilizar o Load Balance, somente Failover (pois a segunda internet  - WAN2 - é de baixa velocidade e de um provedor wireless que não passa o ip válido e sim um ip privado como uma rede wireless compartilhada por um roteador, ou seja, é um quebra galho caso a principal venha a ter alguma indisponibilidade. (embora eu saiba que em caso de falha da internet principal, quando assumir a segunda internet eu ficarei sem os acessos externos).



  • Só precisa definir o gateway na regra da lan que permite acesso.



  • @marcelloc:

    Só precisa definir o gateway na regra da lan que permite acesso.

    Com a ajuda consegui resolver…

    Recriei as regras de WAN e LAN (coloquei o redirecionameto do RDP em primeiro na regra da LAN com o gateway definido para WAN) e refiz as configurações do Failover sem configurar regra de in/out em Firewall / Rules / Floating e deu certo.

    Muito obrigado...



  • @MilaniBR:

    Tenho 2 internet na minha empresa, 1 na WAN como pppoe (que quando conectado recebe o ip válido que é fixo) e 1 na WAN2 que recebe o ip 192.168.2.10 pois quem libera este IP é o provedor a radio que está conectado através de uma rede wireless. Como na conexão a radio é complicado fazer direcionamento de portas, no failover eu criei regra para receber a conexão RDP (externa) somente pela WAN é que da conexão pppoe com ip fixo.

    Eu tenho o mesmo cenário.
    Na interface que recebe o link da rádio a primeira configuração foi DHCP para que eu recebesse um endereço livre.
    Após saber qual era o endereço que o radio atribuiu para mim eu defini a interface como fixa e inseri o endereço de ip manual.

    Como meu firewall esta  24 horas online e caso caia o sinal da radio por algum motivo, o tempo é muito curto para que se efetue a troca de IP.

    Estou a 2 anos  nessa configuração e loadbalance e failover sempre redondos.

    att.



  • @MilaniBR,

    o sniffer que se tornou o padrão atual é o wireshark (https://www.wireshark.org).

    É open source e tem versões para diversas plataformas.