(Решено) Из LAN в WAN не идут TCP пакеты



  • Доброго времени суток.
    Помогите пожалуйста разобраться с такой проблемой:
    Есть сеть LAN + WAN(PPPoE) + OPT1
    Интернет для пользователей локальной сети есть и работает. Но есть клиент СЭД который коннектится к серверу через TCP Gate. Пакеты до клиента идут, а вот от клиента стопоряться.
    Отработка команды pfctl -sn | grep nat

    
    $ pfctl -sn | grep nat
    nat-anchor "pftpx/*" all
    nat-anchor "natearly/*" all
    nat-anchor "natrules/*" all
    nat on rl1 inet from 192.168.0.0/24 port = isakmp to any port = isakmp -> (ng0) port 500 round-robin
    nat on ng0 inet from 192.168.0.0/24 port = isakmp to any port = isakmp -> (ng0) port 500 round-robin
    nat on rl1 inet from 192.168.0.0/24 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robin
    nat on ng0 inet from 192.168.0.0/24 port = 5060 to any port = 5060 -> (ng0) port 5060 round-robin
    nat on rl1 inet from 192.168.0.0/24 to any -> (ng0) port 1024:65535 round-robin
    nat on ng0 inet from 192.168.0.0/24 to any -> (ng0) port 1024:65535 round-robin
    
    

    Отработка команды ifconfig -a

    
    $ ifconfig -a
    rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
    	options=8 <vlan_mtu>ether 00:1d:0f:ff:88:a8
    	inet 192.168.0.100 netmask 0xffffff00 broadcast 192.168.0.255
    	inet6 fe80::21d:fff:feff:88a8%rl0 prefixlen 64 scopeid 0x1 
    	media: Ethernet autoselect (100baseTX <full-duplex>)
    	status: active
    rl1: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
    	options=8 <vlan_mtu>ether 00:11:5b:cf:74:da
    	inet6 fe80::211:5bff:fecf:74da%rl1 prefixlen 64 scopeid 0x2 
    	media: Ethernet autoselect (100baseTX <full-duplex>)
    	status: active
    lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
    	inet 127.0.0.1 netmask 0xff000000 
    	inet6 ::1 prefixlen 128 
    	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 
    enc0: flags=0<> metric 0 mtu 1536
    pfsync0: flags=41 <up,running>metric 0 mtu 1460
    	pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
    pflog0: flags=100 <promisc>metric 0 mtu 33204
    vlan0: flags=8842 <broadcast,running,simplex,multicast>metric 0 mtu 1500
    	ether 00:11:5b:cf:74:da
    	inet6 fe80::21d:fff:feff:88a8%vlan0 prefixlen 64 scopeid 0x7 
    	media: Ethernet autoselect (100baseTX <full-duplex>)
    	status: active
    	vlan: 20 parent interface: rl1
    ng0: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1450
    	inet 10.44.1.2 --> 10.254.254.254 netmask 0xffffffff 
    	inet6 fe80::21d:fff:feff:88a8%ng0 prefixlen 64 scopeid 0x8</up,pointopoint,running,noarp,simplex,multicast></full-duplex></broadcast,running,simplex,multicast></promisc></up,running></up,loopback,running,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast></full-duplex></vlan_mtu></up,broadcast,running,simplex,multicast> 
    

    Логи файервола:

    Mar   12 06:31:54    NG0      10.44.1.2:56270      	94.51.76.137:2048             TCP:A
    


  • @abychenok:

    есть клиент СЭД который коннектится к серверу через TCP Gate. Пакеты до клиента идут, а вот от клиента стопоряться.

    А что такое СЭД и TCP Gate? Коннектится к какому серверу? Как проверялось, что пакеты до клиента идут?



  • @Eugene:

    @abychenok:

    есть клиент СЭД который коннектится к серверу через TCP Gate. Пакеты до клиента идут, а вот от клиента стопоряться.

    А что такое СЭД и TCP Gate?

    СЭД - система электронного документооборота
    TCP GAte - шлюз. Шлюз представлен как внешний модуль *.dll, который импортирует и экспортирует пакеты информации. Пакеты системы физически не создаются в виде файлов, а хранятся в базе и при установлении tcp-соединения передаются от передающей стороны к принимающей при помощи протокола TCP/IP.

    Коннектится к какому серверу? Как проверялось, что пакеты до клиента идут?

    У сервера динамический IP привязан к dyndns.org
    В мониторе транспортной системы клиента СЭД можно посмотреть какие пакеты пришли.
    Такое впечатление что pfsence блокирует пакеты которые идут с NG0(PPPoE соединение).



  • Ох нификасебе…
    Ну тогда можно посмотреть ещё на```
    pfctl -sr

    Хотя с другой стороны… если пакеты приходят на шлюз, но не приходят от него, то pfSense не виноват
    
    

    tcpdump -ni ng0 host ip_address_of_tcp_gate

    может помочь понять где что.


  • Спасибо, в понедельник попробую.



  • Что я только не пробовал, и под конец (когда руки уже опустились :)) я всё грохнул и установил заново. Пакеты пошли, и транспорт заработал.
    Огромное спасибо за помощь.



  • @abychenok:

    Что я только не пробовал, и под конец (когда руки уже опустились :)) я всё грохнул и установил заново. Пакеты пошли, и транспорт заработал.
    Огромное спасибо за помощь.

    ставь решно и закрывай тему тогда


Log in to reply