Problema nat para 3 portas.
-
Bom pessoal estou tentando redirecionar algumas portas aqui no pfsense e apenas uma está funcionando.
Segue imagem:
O problema é que apenas o nat do acesso remoto está funcionando.
As regras internamente funcionam lan>lan mas externamente apenas o acesso remoto acessa.
Grato.
-
O pfSense sabe como chegar na rede 192.168.1.0? Note que o RDP funciona porque está fazendo NAT para a rede 0!
Você está certo de que associou as tuas regras de NAT a um "Filter rule association"?
Abraços!
Jack -
O pfSense sabe como chegar na rede 192.168.1.0? Note que o RDP funciona porque está fazendo NAT para a rede 0!
Você está certo de que associou as tuas regras de NAT a um "Filter rule association"?
Abraços!
JackSegue imagem de como foi configurado:
Apenas a porta foi mudada as configurações seguem iguais.
Nesse caso Jack o ssh pode dar conflito com o do pfsense e o https também?
Obs:Desabilitei o https no pfsense e mudei a porta de 22 para 24 .
-
Nesse caso Jack o ssh pode dar conflito com o do pfsense e o https também?
Sim… poderia dar conflito sim - Já que se você estiver respondendo pelas portas 443 e 22 na WAN (próprio pfSense) e tem somente um IP público, o redirect poderia não acontecer.
Obs:Desabilitei o https no pfsense e mudei a porta de 22 para 24 .
Legal vina18… Mas procure sempre usar portas altas (acima de 1024) como portas "alternativas".
Ainda em tempo, o que eu quis dizer anteriormente é que o teu pfSense pode não saber como chegar na rede 192.168.1.0. Por exemplo, você consegue pingar do pfSense (via console ou webgui) no 192.168.1.196?
Abraços!
Jack -
Nesse caso Jack o ssh pode dar conflito com o do pfsense e o https também?
Sim… poderia dar conflito sim - Já que se você estiver respondendo pelas portas 443 e 22 na WAN (próprio pfSense) e tem somente um IP público, o redirect poderia não acontecer.
Obs:Desabilitei o https no pfsense e mudei a porta de 22 para 24 .
Legal vina18… Mas procure sempre usar portas altas (acima de 1024) como portas "alternativas".
Ainda em tempo, o que eu quis dizer anteriormente é que o teu pfSense pode não saber como chegar na rede 192.168.1.0. Por exemplo, você consegue pingar do pfSense (via console ou webgui) no 192.168.1.196?
Abraços!
JackEsqueci de responder essa pergunta Jack ;)
Sim eles estão na mesma sub-rede.
Pfsense: 192.168.1.253
Central: 192.168.1.196Como a 1 regra está funcionando Jack é estranho as outros não funcionarem ..
Com 1 ip público posso redirecionar múltiplas portas ? Talvez esse seja o problema.
No plano empresarial tenho direito a 10 ips válido.. vou ter que ligar pra copel :)
-
Como a 1 regra está funcionando Jack é estranho as outros não funcionarem ..
Se você está usando máscara /24 eles não estão na mesma rede. Veja que na regra 1 você está fazendo um redirect para o IP 192.168.0.105… enquanto nas demais você está redirecionando para o IP 192.168.1.196. ???
Com 1 ip público posso redirecionar múltiplas portas ? Talvez esse seja o problema.
Você pode redirecionar quantas portas quiser das 65535. Quanto a isso, sem nenhum problema.
Volto a repetir que deve ser algum erro de configuração de endereçamento ou rota interna…Verifique a questão das redes diferentes!
Abraços!
Jack -
Como a 1 regra está funcionando Jack é estranho as outros não funcionarem ..
Se você está usando máscara /24 eles não estão na mesma rede. Veja que na regra 1 você está fazendo um redirect para o IP 192.168.0.105… enquanto nas demais você está redirecionando para o IP 192.168.1.196. ???
Com 1 ip público posso redirecionar múltiplas portas ? Talvez esse seja o problema.
Você pode redirecionar quantas portas quiser das 65535. Quanto a isso, sem nenhum problema.
Volto a repetir que deve ser algum erro de configuração de endereçamento ou rota interna…Verifique a questão das redes diferentes!
Abraços!
JackPeguei a 1 regra ali e troquei para outro servidor 192.168.0.107 e o acesso foi bem sucedido,mas ao trocar o destination adress para outro ip público que a copel me forneceu o acesso não acontece.A regra é a mesma apenas com o destination adress em network e o ip 200.x.x.x/29(cidr)
Não sei o que ta acontecendo.
Peço ajuda aos universitários :-\ -
Peguei a 1 regra ali e troquei para outro servidor 192.168.0.107 e o acesso foi bem sucedido,mas ao trocar o destination adress para outro ip público que a copel me forneceu o acesso não acontece.A regra é a mesma apenas com o destination adress em network e o ip 200.x.x.x/29(cidr)
Se você quer proceder com redirects de outros IPs públicos do seu range /29, cadastre-os primeiros em "Firewall->Virtual IP". Só assim você poderá escolhê-los no campo "Destination" no momento de criar sua regra de NAT!
Abraços!
Jack -
Na regra de nat, aplicar uma regra com ip e mascara/29, vai criar regras para toda a faixa.
Confere na wan se você tem as regras para liberar o acesso aos outros ips internos.
Não vejo a necessidade de subir outros ips para resolver este problema.
qual a mascara de rede da sua lan?
-
@marcelo /16 marcelo classe B
@Jack eu adicionei o ip do meu outro ip público em virtual ips,mas mesmo assim não consigo acessar(já havia uma regra para o servidor que está funcionando no ip público principal).
Selecionei o ip em destination adress que cadastrei em virtuais ips segunda sua dica jack.Segue a imagem de como ficou:
Dica do jack:
Nada de funcionar :-\… testei o ssh pelo putty e nada apenas o ts para o servidor 192.168.0.105 funciona.
-
Muda seu virtual ip de proxy arp para alias ip.
O proxy arp com /29 publica todos os ips da faixa.
vamos focar em um problema de cada vez.
Na configuração do nat você pode marcar a opção para associar uma regra de firewall a este nat.
-
Muda seu virtual ip de proxy arp para alias ip.
O proxy arp com /29 publica todos os ips da faixa.
vamos focar em um problema de cada vez.
Na configuração do nat você pode marcar a opção para associar uma regra de firewall a este nat.
Troquei marcello .. sem sucesso ainda :-\ tanto /29 como /24 não funcionou
Segue imagem:
Grato pela ajuda.
Se puder me dar um exemplo para tal situação lhe agradeço.
-
Você fez um nat para o servidor de acesso remoto e cadastrou ele como ip na sua tabela de ips virtuais?
Não entendi esta configuração.
-
Você fez um nat para o servidor de acesso remoto e cadastrou ele como ip na sua tabela de ips virtuais?
Não entendi esta configuração.
-O virtual ip do acesso remoto foi criado automaticamente ao criar a 1ª regra.
-O problema é no ssh ,não consigo fazer funcionar com o ip 200.195.xxx.xxx/29 ou /24.Se puder me mostra 1 exemplo fico grato marcello.
-
Vina,
O seu primeiro já mostra a configuração correta(exceto pelo ultimo nat).
Confere em (firewall -> rules -> wan )se você não aplicou alguma regra que bloqueia o acesso liberado pelo nat.
att,
Marcello Coutinho
-
Vina,
O seu primeiro já mostra a configuração correta(exceto pelo ultimo nat).
Confere em (firewall -> rules -> wan )se você não aplicou alguma regra que bloqueia o acesso liberado pelo nat.
att,
Marcello Coutinho
Não sei marcello :-\ apenas o acesso remoto está funcionando .. o ssh não funciona.
Tem algum comando no tcpdump pra mim verificar os pacotes que está entrando e saindo da minha interface wan ?
Preciso habilitar o ssh pra tal ip WAN,em Show States não aparece nenhum log dessas regras.
-
Como estão organizadas as suas regras de wan?
-
Como estão organizadas as suas regras de wan?
Eu coloquei em virtual ips o ip público que quero usar e em destination adress eu o escolhi,deixei a mesma porta e o mesmo servidor interno.
Resultado : Nada :-\ em Wan adress funciona ,mas setando outro ip público não acontece nada.
Tentei fazer o nat com destination adress wan adress para as portas 443 e 22 e também nada(mudei a porta para acessar o pfsense para porta padrão de 22 para 24 apenas para ter certeza de não haver conflito).
Lenda urbana esse nat :-X
-
Cade a regra na wan permitindo o acesso?
Na minha opinião só falta isso. nem ip virtual você precisa.
-
Cade a regra na wan permitindo o acesso?
marcelloc,
Esta regra que aparece na tela do vina18, provavelmente e o "reflect" do NAT. Então, em teoria, estaria correto.
vina18,
Pergunta básica, o servidor interno tem como gateway o teu pfSense? Já conferiu isso?
Abraços!
Jack
