Не пускает Lan в Internet



  • :'(  Есть сигмент беспроводной сети 192.168.5.0/24 все клиенты (8 users) DWL 2100 –- соеденены через базовую станцию с микротиком --- микротик через отдельный радиобридж с хабом --- к хабу присоеденён компьютер человека раздающего интернет и pfsense --- pfsense соеденён с ADSL модемом. пытаюсь выпустить в интернет этих 8 человек - бесполезно! На компьютере что с хабом соеденён интернет без проблем есть. Настройки pfsense 1.2.2 по умолчанию (из лан разрешено всё).
    Было ли у кого такое? И как исправить?



  • формулировка настолько размыта…
    все ли в порядке с маршрутами?

    микротик бриджем или шлюзом настроен? тут вариантов много может быть...

    192.168.5.0/24 шлюз 192.168.5.1(микротик тут же DNS) -> у микротика внешний IP в сегменте должен быть с внутренним интерфейсом pfsense и соответственно шлюзом должен быть pf.
    хотя и бриджами запилить можно..  ;) рисуй схему и будет понятней



  • Микротик настроен как бридж между 3 интерфейсами 192.168.5.3-5(2 wi-fi, 1 ethernet) к ethernet присоеденена точка доступа (192.168.5.6) которая соеденяется с другой точкой 192.168.5.7(включённой в хаб). К хабу присоеденяются pfsense с модемом(LAN 192.168.5.1) и комп (192.168.5.55)который выходит в интернет без проблем. У клиентов прописан шлюз и днс 192.168.5.1. Все интерфейсы из одной подсети 192.168.5.0/24. C клиентских компьютеров внутри сети всё пингуется, заходил в веб интерфейс pfsense от клиентов - разрешал всё что можно-результата 0. Вот такая схема. Раньше стоял TI всё работало…  ???



  • Схема понятна, но 99% лишь ее недостаточно, мало информации на самом деле. В pfsense через веб открой Packet Capture, введи ip из LANовской подсети (которая висит на микротике), попытайся куда-нить выйти, посмотри что пишет. System logs: Firewall тоже поможет. Отключи scrubbing.
    Если стоит Manual Outbound NAT rule generation (Advanced Outbound NAT (AON), попробуй поставь Automatic outbound NAT rule generation (IPsec passthrough).
    Если не поможет, выложи /tmp/rules.debug



  • System Aliases

    loopback = "{ lo0 }"
    lan = "{ rl1  }"
    ng0 = "{ rl0 ng0 }"
    wan = "{ rl0  ng0 }"
    enc0 = "{ enc0 }"

    User Aliases

    set loginterface rl0
    set loginterface rl1
    set optimization normal

    scrub all random-id max-mss 1452 fragment reassemble

    nat-anchor "pftpx/"
    nat-anchor "natearly/
    "
    nat-anchor "natrules/*"

    FTP proxy

    rdr-anchor "pftpx/*"

    Outbound NAT rules

    nat on $ng0 from 192.168.5.0/24 port 500 to any port 500 -> (ng0) port 500
    nat on $ng0 from 192.168.5.0/24 port 5060 to any port 5060 -> (ng0) port 5060
    nat on $ng0 from 192.168.5.0/24 to any -> (ng0)

    #SSH Lockout Table
    table <sshlockout>persist

    Load balancing anchor - slbd updates

    rdr-anchor "slb"

    FTP Proxy/helper

    table <vpns>{  }
    no rdr on rl1 proto tcp from any to <vpns>port 21
    rdr on rl1 proto tcp from any to any port 21 -> 127.0.0.1 port 8021

    IMSpector rdr anchor

    rdr-anchor "imspector"

    UPnPd rdr anchor

    rdr-anchor "miniupnpd"

    anchor "ftpsesame/*"
    anchor "firewallrules"

    We use the mighty pf, we cannot be fooled.

    block quick proto { tcp, udp } from any port = 0 to any
    block quick proto { tcp, udp } from any to any port = 0

    snort2c

    table <snort2c>persist
    block quick from <snort2c>to any label "Block snort2c hosts"
    block quick from any to <snort2c>label "Block snort2c hosts"

    loopback

    anchor "loopback"
    pass in quick on $loopback all label "pass loopback"
    pass out quick on $loopback all label "pass loopback"

    package manager early specific hook

    anchor "packageearly"

    carp

    anchor "carp"

    permit wan interface to ping out (ping_hosts.sh)

    pass quick proto icmp from XXX.XXX.XXX.XXX to any keep state

    NAT Reflection rules

    allow access to DHCP server on LAN

    anchor "dhcpserverlan"
    pass in quick on $lan proto udp from any port = 68 to 255.255.255.255 port = 67 label "allow access to DHCP server on LAN"
    pass in quick on $lan proto udp from any port = 68 to 192.168.5.1 port = 67 label "allow access to DHCP server on LAN"
    pass out quick on $lan proto udp from 192.168.5.1 port = 67 to any port = 68 label "allow access to DHCP server on LAN"

    LAN/OPT spoof check (needs to be after DHCP because of broadcast addresses)

    antispoof for rl1

    anchor "spoofing"

    Support for allow limiting of TCP connections by establishment rate

    anchor "limitingesr"
    table <virusprot>block in quick from <virusprot>to any label "virusprot overload table"

    block bogon networks

    http://www.cymru.com/Documents/bogon-bn-nonagg.txt

    anchor "wanbogons"
    table <bogons>persist file "/etc/bogons"
    block in log quick on $wan from <bogons>to any label "block bogon networks from wan"

    let out anything from the firewall host itself and decrypted IPsec traffic

    pass out quick on $lan proto icmp keep state label "let out anything from firewall host itself"
    pass out quick on $wan proto icmp keep state label "let out anything from firewall host itself"

    tcp.closed 5 is a workaround for load balancing, squid and a few other issues.

    ticket (FEN-857512) in centipede tracker.

    pass out quick on ng0 all keep state ( tcp.closed 5 ) label "let out anything from firewall host itself"

    pass traffic from firewall -> out

    anchor "firewallout"
    pass out quick on  { rl0 ng0 }  all keep state label "let out anything from firewall host itself"
    pass out quick on rl1 all keep state label "let out anything from firewall host itself"
    pass out quick on $enc0 keep state label "IPSEC internal host to host"# permit wan interface to ping out (ping_hosts.sh)
    pass out quick on ng0 proto icmp keep state ( tcp.closed 5 ) label "let out anything from firewall host itself"

    make sure the user cannot lock himself out of the webGUI or SSH

    anchor "anti-lockout"
    pass in quick on rl1 from any to 192.168.5.1 keep state label "anti-lockout web rule"

    SSH lockout

    block in log quick proto tcp from <sshlockout>to any port 22 label "sshlockout"

    anchor "ftpproxy"
    anchor "pftpx/*"

    User-defined aliases follow

    User-defined rules follow

    pass in quick on $lan from 192.168.5.0/24 to any keep state  label "USER_RULE: Default LAN -> any"

    VPN Rules

    pass in quick on rl1 inet proto tcp from any to $loopback port 8021 keep state label "FTP PROXY: Allow traffic to localhost"
    pass in quick on rl1 inet proto tcp from any to $loopback port 21 keep state label "FTP PROXY: Allow traffic to localhost"
    pass in quick on ng0 inet proto tcp from port 20 to (ng0) port > 49000 flags S/SA keep state label "FTP PROXY: PASV mode data connection"

    enable ftp-proxy

    IMSpector

    anchor "imspector"

    uPnPd

    anchor "miniupnpd"

    #–-------------------------------------------------------------------------

    default deny rules

    #---------------------------------------------------------------------------
    block in log quick all label "Default deny rule"
    block out log quick all label "Default deny rule"</sshlockout></bogons></bogons></virusprot></virusprot></snort2c></snort2c></snort2c></vpns></vpns></sshlockout>



  • Packet capture
    Lan
    15:45:00.036378 IP 192.168.5.26.1576 > 192.168.5.1.53: UDP, length 36
    15:45:00.037013 IP 192.168.5.1.53 > 192.168.5.26.1576: UDP, length 52
    15:45:00.096865 IP 192.168.5.26.1577 > 114.80.67.98.57932: tcp 0
    15:45:03.106232 IP 192.168.5.26.1577 > 114.80.67.98.57932: tcp 0
    15:45:09.040560 IP 192.168.5.26.1577 > 114.80.67.98.57932: tcp 0
    15:45:31.017992 IP 192.168.5.26.1578 > 192.168.5.1.53: UDP, length 36
    15:45:31.018646 IP 192.168.5.1.53 > 192.168.5.26.1578: UDP, length 52
    15:45:31.056789 IP 192.168.5.26.1579 > 114.80.67.98.57932: tcp 0
    15:45:33.986718 IP 192.168.5.26.1579 > 114.80.67.98.57932: tcp 0



  • У меня что-то подобное было:
    192.168.10.0/24 <- (10.1) NAT (20.200) -> 192.168.20.0/24 <-PFSense-> WAN
    На pfsense Разрешена вся подсеть 192.168.20.0/24, на машине 20.200 инет есть, в подсети 192.168.10.0/24 нет. Причем  пакеты из 10.0/24 до pfsense доходят нормально.
    Помогло Automatic outbound NAT rule generation (IPsec passthrough).  Кажется абсурдом, но факт.
    Pfsense заменял vyatt'ой или linux'ом, все ОК.

    А с правилами все ОК. Но судя по Packet capture, запросы есть, ответов нет.



  • @nmts:

    :'(  Есть сигмент беспроводной сети 192.168.5.0/24 все клиенты (8 users) DWL 2100 –- соеденены через базовую станцию с микротиком --- микротик через отдельный радиобридж с хабом --- к хабу присоеденён компьютер человека раздающего интернет и pfsense --- pfsense соеденён с ADSL модемом. пытаюсь выпустить в интернет этих 8 человек - бесполезно! На компьютере что с хабом соеденён интернет без проблем есть. Настройки pfsense 1.2.2 по умолчанию (из лан разрешено всё).
    Было ли у кого такое? И как исправить?

    У МЕНЯ ТОЖЕ БЫЛО ЧТО-ТО ПОДОБНОЕ.ПОМОГЛО СЛЕДУЩЕЕ:
    1.ПОМЕНЯЁ АДРЕСС СЕТИ, НУ А ЕСЛИ НЕ ПОМОГЛО, ТО СНЕСИ ВСЁ И ПОСТАВ НАИПОСЛЕДНЕЙШИЙ РЕЛИЗ.МНЕ ЭТО ПОМОГЛО.



  • Что-то вы, мужики, шаманством занимаетесь… помогло-непомогло.
    Пакеты на лан приходят - отлично! смотрим на ван! с ван уходят?
    а) да - смотрим, работает ли нат
    б) нет - смотрим правила, которые разрешают эти пакеты
    бсд тем и прекрасен, что всё интуитивно понятно и можно оттрассировать всё, что хошь... -))


Locked