[Resolvido] Ajuda - Redirecionamento de IP Interno

kakoSP

Boa noite galera, recentemente instalei o pfsense em minha rede, serve apenas para compartilhar net e redirecionar alguns serviços, nada de extraordinario , então até ai correu tudo bem, porém temos uma aplicação web que também foi redirecionada, externamente o acesso corre tudo perfeito, porém a rede interna (192.168.0.0) ao tentar acessar essa aplicação com ip_externo(186.xxx.xxx.xxx/aplicacao) não dá acesso, já segui algumas dicas do topico http://forum.pfsense.org/index.php?topic=38654.0 porém não obtive resultado.

Grato pela ajuda.

marcelloc

Da uma olhada neste tópico

http://forum.pfsense.org/index.php/topic,45050.0.html

kakoSP

Muito obrigado pela resposta…
Mas ainda não me atendeu, pois mesmo criado o Servidor de DNS ele vinculu o ip_interno ao nome, o que preciso é od ip_internos acessar a aplicação via ip_externo
exemplo.: ip_interno (10.0.0.1)
acessando a aplicação ip_externo (186.xxx.xxx.xxx/Aplicacao) onde 186.xxx.xxx.xxx é o nosso ip de acesso externo

Valew

Da uma olhada neste tópico

http://forum.pfsense.org/index.php/topic,45050.0.html

marcelloc

Porque aumentar o número de saltos e nats para acessar a aplicação?

kakoSP

Então eu arguei isso junto ao pessoal de desenvolvimento da web, porém dizem eles que necessatam acessar via externo, por que alguns serviços, classes estão setadas com o ip_externo, então acessando com o ip_interno alguns modulos vai gerar erro por causa disso.

leandruco

Imagina se um dia mudar a operadora?
Só vai dar desenvolvedor recompilando o programa, essas coisas devem usar nomes no lugar de IP´s.

Quando possível claro.

marcelloc

Veja se na sua wan não esta marcado bogon networks.

Isso deve resolver o problema do ip externo.

Dica para administradores de rede:

Não fique refém de desenvolvedores, publicar código por ip, na minha opinião significa código mau feito.

kakoSP

Verificado todas minhas conexões está desmarcadas ,ou seja, LAN, WAN_LP , WAN_SPEEDY.

marcelloc

Você deve ter que criar um 'gato' no firewall para combinar com a 'gambiarra' do código.

deve estar acontencendo o seguinte:

supondo que:
ip do servidor web: 192.168.0.10
ip do pfsense: 192.168.0.1
ip da estacao: 192.168.0.50

192.168.0.50 solicita a pagina para 189.x.x.2

189.x.x.2 faz nat para 192.168.0.10

192.168.0.10 percebe que 192.168.0.50 esta na mesma rede que ele e devolve o pacote direto para o dono

192.168.0.50 rejeita o pacote porque ele pediu a pagina para 189.x.x.2 e não para 192.168.0.10

Resolvendo o problema:

forma correta:
usar dns interno e externo bem como ajustar a aplicação para funcionar da forma correta

forma não tão correta:
criar um outbound nat no pfsense forçando a comunicação pelo ip do firewall para o servidor web 192.168.0.10

kakoSP

Nossa você postou corretamente meu ambiente de rede e ainda o que está acontecendo no momento…. bom irei fazer essas novas configurações...
valews desde já.

Será se não for pedi muito pode me ajudar a criar outbound nat ?
tentei de todas as formas e não consegui.

valew

marcelloc

Passe o outbound nat para manual e em seguida crie o nat conforme exemplo anexo.

source_nat.png_thumb

manual_outbound_nat.png_thumb

kakoSP

Novamente brigadão pela ajuda.

Então eu fiz as configurações que você me informou porém não tive resultado, continuou a mesma coisa, segue meu redirencionamento e o outbound que você me informou, lembrando que a maquina que está com a aplicação web está setada como cliente DHCP.

acesso_externo.png_thumb

FSaad

@kakoSP:

Boa noite galera, recentemente instalei o pfsense em minha rede, serve apenas para compartilhar net e redirecionar alguns serviços, nada de extraordinario , então até ai correu tudo bem, porém temos uma aplicação web que também foi redirecionada, externamente o acesso corre tudo perfeito, porém a rede interna (192.168.0.0) ao tentar acessar essa aplicação com ip_externo(186.xxx.xxx.xxx/aplicacao) não dá acesso, já segui algumas dicas do topico http://forum.pfsense.org/index.php?topic=38654.0 porém não obtive resultado.

Grato pela ajuda.

KakoSP, boa tarde.

Tente o seguinte:
Vá em SYSTEM>ADVANCED
Vá na aba Firewall/NAT
Desabilite a seguinte opção: Disable NAT Reflection for port forwards

Não sei quais as implicações na segurança, mas foi o unico modo que consegui fazer funcionar…..tentei usar o metopdo de split DNS conforme DOC.PFSENSE mas não funcionou.

JackL

@kakoSP:

lembrando que a maquina que está com a aplicação web está setada como cliente DHCP.

Nossa, quer dizer que além de tudo o teu webserver pode trocar de IP a qualquer momento?

Espero que você tenha fixado o IP pelo MAC ao menos…

Ainda em tempo, reforço a dica do colega marcelloc... Use DNS para resolver de forma correta este seu problema!

Abraços!
Jack

marcelloc

kakoSP,

Entenda como uma critica construtiva.

Desenvolvedor com preguiça
Servidor web com endereço ip dinâmico

Com esses pequenos detalhes, fico até com medo de perguntar como esta a segurança do seu servidor web. Pelo andar da carruagem deve ser um IIS com configuração padrão sem qualquer proteção contra invasão/Desenvolvedores rodando em um Windows semi original com Windows update desabilitado.

Aproveita que você já tem um excelente firewall configurado na sua rede e põe ordem na casa.
Faça a decisão vir de cima para baixo, desta forma você não precisa ficar discutindo com desenvolvedor.

att,
Marcello Coutinho

kakoSP

Muito obrigado Marcello pela a dica… sou novo na empresa e o servidor web realmente acontece o que você descreveu e estou tentando ajeitar as coisas aqui.

Bom agora irei demonstrar o resultado depois das dicas.
Primeiramente consegui fazer o acesso ao ip_externo estando na mesma rede do servidor, segue em anexo o que fiz, pela sua dica (marcelloc) criei o outbound de ida e não funcionou, ai fui crei o de volta e funcionou, porém eu tirei as duas regas e ainda continuou funcionado e isso já faz 1 dia e meio não sei o que acontenceu.

valew mesmo pelas dicas.

kakoSP,

Entenda como uma critica construtiva.

Desenvolvedor com preguiça
Servidor web com endereço ip dinâmico

Com esses pequenos detalhes, fico até com medo de perguntar como esta a segurança do seu servidor web. Pelo andar da carruagem deve ser um IIS com configuração padrão sem qualquer proteção contra invasão/Desenvolvedores rodando em um Windows semi original com Windows update desabilitado.

Aproveita que você já tem um excelente firewall configurado na sua rede e põe ordem na casa.
Faça a decisão vir de cima para baixo, desta forma você não precisa ficar discutindo com desenvolvedor.

att,
Marcello Coutinho

aplicacaoWeb_Interno.png_thumb

kakoSP

esqueci de adicionar.

Topico RESOLVIDO

Obrigado a todos.