Отваливается проброс портов



  • Собственно моя предыдущая тема таки разрослась в другую сторону, да и вопрос у меня уже другой, так что принес я вам сегодня вот что:
    pfSense 2.3.5 с поднятым WAN на pppoe, создан OpenVPN-туннель, который даже работает и маршрутизирует внутренние сети. С внешнего интерфейса есть несколько пробросов портов, которые работали исправно в целом, но сегодня что-то пошло не так. Отвалился сначала маршрут на нужную подсеть, который ходил через туннель, а потом оказалось что еще и проброс на WAN 38 порт, на который был настроен ssh (пробрасывался на линксовую машину) тоже не работает, вместо этого ssh шел на сам PF. До этого было замечено что как-то с правилами фаервола PF работает не всегда как надо, некоторые не применяет до ребута всей системы целиком.

    Фишка в том, что до этого на этом филиале стоял pfSense 2.1.5, и там началась такая же ерунда с пробросами, но там даже ребут не помогал, собственно потому и было решено что тот шлюз уже устал за 8 лет работы и пора его обновлять. Настроили новый, но вот на новом появилась подобная проблема. Посоветуйте, куда копать?

    Провайдер приходит сразу в
    Железо:
    Intel Celeron CPU E3300
    RAM 2 Gb DDR 2
    HDD 60 Gb
    Одна сетевка встроенная и одна внешняя, обе Realtek, точных моделей не помню правда



  • Гениально, четвертая созданная мною тема, и четвертый раз все "сломя голову несутся помочь" =D



  • Добрый.
    @desroze Когда вот так "просят" помочь, то я обычно отвечаю: "Тогда и зарплату за вас я получать буду". Согласны?

    Уверен на 146% что правила проброса, fw на интерфейсах и марш-ции написаны с ошибками.

    Еще раз в таком тоне и "Спасение утопающих - дело рук самих утопающих"(с). Здесь никто никому ничего не должен.

    У пф есть платная поддержка, если чО.

    P.p.s. Телепаты на морях.



  • @werter said in Отваливается проброс портов:

    Добрый.
    @desroze Когда вот так "просят" помочь, то я обычно отвечаю: "Тогда и зарплату за вас я получать буду". Согласны?

    А что не так с первым постом? Какой неправильный там тон? Или проблема в том, что я констатировал факт что уже в четвертой теме на форуме мне не дали ни одного совета, пока сам не напишешь второй пост?

    Уверен на 146% что правила проброса, fw на интерфейсах и марш-ции написаны с ошибками.

    Еще раз, в первом посте указано что проброс был настроен, следовательно он работал, не логично разве? Потом отвалился

    Еще раз в таком тоне и "Спасение утопающих - дело рук самих утопающих"(с). Здесь никто никому ничего не должен.

    Еще раз, что не так с тоном? Я изначально попросил даже не помощи, а просто хотя бы направить в нужную сторону, ибо по логам я ничего не нашел, тема висит третий день, 22 просмотра и ни одного ответа. Ну я и констатировал этот факт, что не так?

    У пф есть платная поддержка, если чО.

    Я в курсе, если чО. Я надеялся что комьюнити хоть немного отзывчивее

    P.p.s. Телепаты на морях.

    Ну так можно же написать "покажи такой то лог"/"покажи конфигурацию"/"смотри туда-то". Сами указываете что у меня тон неправильный, и при этом...



  • @Desroze не знаю что до тона, но читать действительно сложно и местами очень противно.

    У меня вопрос, железо новое или на старое накатили?



  • @scodezan said in Отваливается проброс портов:

    @Desroze не знаю что до тона, но читать действительно сложно и местами очень противно.

    У меня вопрос, железо новое или на старое накатили?

    таки я же и спрашиваю, что не так то?
    На старое, но не на то, на котором стоял старый pf. На том, которое поставили сейчас стояла семерка, которую попросту снесли



  • @desroze said in Отваливается проброс портов:

    таки я же и спрашиваю, что не так то?

    Язык -- это один из способов мышления. Тут как-то больше эмоций. Возможно, у тебя уже мозг уже сломался от этого вопроса)))

    Мы ищем переменную, что уже было сделано

    1. Заменили железо и версию pfsense.

    Что ещё может быть

    1. ошибка конфигурирования
      <...>
    2. Человеческие факторы
      а. провайдер
      б. коллега.
      г. ты сам
    3. Всё-таки железо.
      a. на котором стоит fpsense
      б. коммутатор (как ни странно но бывает)
      г. что-то ещё


  • @scodezan said in Отваливается проброс портов:

    @desroze said in Отваливается проброс портов:

    таки я же и спрашиваю, что не так то?

    Язык -- это один из способов мышления. Тут как-то больше эмоций. Возможно, у тебя уже мозг уже сломался от этого вопроса)))

    Мы ищем переменную, что уже было сделано

    1. Заменили железо и версию pfsense.

    Что ещё может быть

    1. ошибка конфигурирования
      <...>
    2. Человеческие факторы
      а. провайдер
      б. коллега.
      г. ты сам
    3. Всё-таки железо.
      a. на котором стоит fpsense
      б. коммутатор (как ни странно но бывает)
      г. что-то ещё

    добавил описание железа в старттопик, коллега на тот pf не лазил, настраивал его только я, проброс изначально работал, отвалился после внезапного ребута по отключению света
    Если бы косяк был в провайдере - не работали бы наверно другие пробросы, как мне кажется, однако sip-пробросы работают исправно, этот же момент исключает неправильную настройку, ибо настроены пробросы один в один, даже на один сервак (ну либо я чего то не понимаю в этом бренном мире)
    Сам я накосячить... ну если только во сне начал лунатить, ибо во время того как проблема образовалась - я был в отпуске

    Если быть тончее 0_1530265525629_1.jpg

    и вот последний проброс не работает совсем, если указывать порт отличный от ssh, или вместо этого подключение идет на сам шлюз, если ставить 22 порт

    Да, на всякий случай, я вот СОВСЕМ никого не хотел обидеть/задеть/etc, ибо сам по себе мирный человек, и нападки касаемые "тона" считаю неконструктивными. Если я где-то что-то написал вне соответствий правил - прошу указать на это, если где-то перешел на личности - тоже.



  • @Desroze в последнем правиле source port для чего указан?

    А провайдеры могут блокировать отдельные порты или пакеты по сигнатурам, если захотят.



  • @scodezan said in Отваливается проброс портов:

    @Desroze в последнем правиле source port для чего указан?

    А провайдеры могут блокировать отдельные порты или пакеты по сигнатурам, если захотят.

    экспериментировал с портами, меняется ли что то от источника, или нет. Было выяснено что не меняется, и сейчас там стоит звезда



  • This post is deleted!


  • Официальный чеклист, полтора десятка пунктов:
    https://www.netgate.com/docs/pfsense/nat/port-forward-troubleshooting.html

    @desroze said in Отваливается проброс портов:

    проброс изначально работал, отвалился после внезапного ребута по отключению света

    Для таких случев должен быть бэкап.
    Если бэкапа нет - он все равно есть, pfSense делает сам и хранит по умолчанию 30 штук. Доступны они, например, из консоли.

    @desroze said in Отваливается проброс портов:

    Гениально, четвертая созданная мною тема, и четвертый раз все “сломя голову несутся помочь” =D

    Несутся сломя голову? На каком основании?
    Тут вообще отвечающих - как пальцев на одной руке.

    @desroze said in Отваливается проброс портов:

    экспериментировал с портами, меняется ли что то от источника, или нет. Было выяснено что не меняется, и сейчас там стоит звезда

    Задание source port для port forward - весьма популярная ошибка. Даже выделена отдельно в приведеннм выше мануале.
    Сам ее совершал в свое время.



  • Доброго дня
    Верно написали , про ошибку в правилах
    Вот , к примеру , как у меня все настроено
    1 это сам PORT FORWARDING
    0_1530606827298_118c730a-1e05-47e2-b7e0-c3a2847daf77-image.png
    2 а вот правила для него
    0_1530606847525_2efd78fc-5062-4bab-baca-329d9f370c93-image.png

    И ничего не отваливается ( кстати , правила делаются автоматически )



  • @pigbrother said in Отваливается проброс портов:

    Официальный чеклист, полтора десятка пунктов:
    https://www.netgate.com/docs/pfsense/nat/port-forward-troubleshooting.html

    спасибо, погляжу

    Для таких случев должен быть бэкап.
    Если бэкапа нет - он все равно есть, pfSense делает сам и хранит по умолчанию 30 штук. Доступны они, например, из консоли.

    опять таки, я может чего то не понимаю, но что ресторить то? Я же писал, коллега на тот шлюз не лезет, я был в отпуске и соответственно тоже не работал, настройки не менялись от слова совсем.

    Несутся сломя голову? На каком основании?
    Тут вообще отвечающих - как пальцев на одной руке.

    Да это я уже понял что как пальцев. Надежда, как говорится, умирает последней, просто смотрю что темы то в основном живут и отвечаются, ток мои почему-то стороной обходятся первые две недели после создания

    Задание source port для port forward - весьма популярная ошибка. Даже выделена отдельно в приведеннм выше мануале.
    Сам ее совершал в свое время.

    Да я знаю что это ошибка была, поправил уже. Толку все равно нет



  • @konstanti said in Отваливается проброс портов:

    Доброго дня
    Верно написали , про ошибку в правилах
    Вот , к примеру , как у меня все настроено

    0_1530610735894_1.jpg

    тоже правила фаервола
    1_1530610735894_2.jpg

    ( кстати , правила делаются автоматически )

    Спасибо, капитан☺



  • Добрый.

    Проверьте внимательно, что указано шлюзом на локальных машинах.
    На всех должен быть ip пф.

    Также проверьте, чтобы на требуемых лок. машинах ip установлен руками. И его никто не менял. Плюс правила fw на лок. машинах не блокируют.

    p.s. Загляните во флоатинг рулез на пф. Может там кто чего накрутил.

    P.s. И поправьте правила у себя:
    SSH - только TCP
    RTP - только UDP

    Не стоит лишнее открывать\пробрасывать.