Problema nat para 3 portas.



  • Bom pessoal estou tentando redirecionar algumas portas aqui no pfsense e apenas uma está funcionando.

    Segue imagem:

    O problema é que apenas o nat do acesso remoto está funcionando.

    As regras internamente funcionam lan>lan mas externamente apenas o acesso remoto acessa.

    Grato.



  • O pfSense sabe como chegar na rede 192.168.1.0? Note que o RDP funciona porque está fazendo NAT para a rede 0!

    Você está certo de que associou as tuas regras de NAT a um "Filter rule association"?

    Abraços!
    Jack



  • @JackL:

    O pfSense sabe como chegar na rede 192.168.1.0? Note que o RDP funciona porque está fazendo NAT para a rede 0!

    Você está certo de que associou as tuas regras de NAT a um "Filter rule association"?

    Abraços!
    Jack

    Segue imagem de como foi configurado:

    Apenas a porta foi mudada as configurações seguem iguais.

    Nesse caso Jack o ssh pode dar conflito com o do pfsense e o https também?

    Obs:Desabilitei o https no pfsense e mudei a porta de 22 para 24 .



  • @vina18:

    Nesse caso Jack o ssh pode dar conflito com o do pfsense e o https também?

    Sim… poderia dar conflito sim - Já que se você estiver respondendo pelas portas 443 e 22 na WAN (próprio pfSense) e tem somente um IP público, o redirect poderia não acontecer.

    Obs:Desabilitei o https no pfsense e mudei a porta de 22 para 24 .

    Legal vina18… Mas procure sempre usar portas altas (acima de 1024) como portas "alternativas".

    Ainda em tempo, o que eu quis dizer anteriormente é que o teu pfSense pode não saber como chegar na rede 192.168.1.0. Por exemplo, você consegue pingar do pfSense (via console ou webgui) no 192.168.1.196?

    Abraços!
    Jack



  • @JackL:

    @vina18:

    Nesse caso Jack o ssh pode dar conflito com o do pfsense e o https também?

    Sim… poderia dar conflito sim - Já que se você estiver respondendo pelas portas 443 e 22 na WAN (próprio pfSense) e tem somente um IP público, o redirect poderia não acontecer.

    Obs:Desabilitei o https no pfsense e mudei a porta de 22 para 24 .

    Legal vina18… Mas procure sempre usar portas altas (acima de 1024) como portas "alternativas".

    Ainda em tempo, o que eu quis dizer anteriormente é que o teu pfSense pode não saber como chegar na rede 192.168.1.0. Por exemplo, você consegue pingar do pfSense (via console ou webgui) no 192.168.1.196?

    Abraços!
    Jack

    Esqueci de responder essa pergunta Jack  ;)

    Sim eles estão na mesma sub-rede.

    Pfsense: 192.168.1.253
    Central: 192.168.1.196

    Como a 1 regra está funcionando Jack é estranho as outros não funcionarem ..

    Com 1 ip público posso redirecionar múltiplas portas ? Talvez esse seja o problema.

    No plano empresarial tenho direito a 10 ips válido.. vou ter que ligar pra copel  :)



  • @vina18:

    Como a 1 regra está funcionando Jack é estranho as outros não funcionarem ..

    Se você está usando máscara /24 eles não estão na mesma rede. Veja que na regra 1 você está fazendo um redirect para o IP 192.168.0.105… enquanto nas demais você está redirecionando para o IP 192.168.1.196.  ???

    Com 1 ip público posso redirecionar múltiplas portas ? Talvez esse seja o problema.

    Você pode redirecionar quantas portas quiser das 65535. Quanto a isso, sem nenhum problema.

    Volto a repetir que deve ser algum erro de configuração de endereçamento ou rota interna…Verifique a questão das redes diferentes!

    Abraços!
    Jack



  • @JackL:

    @vina18:

    Como a 1 regra está funcionando Jack é estranho as outros não funcionarem ..

    Se você está usando máscara /24 eles não estão na mesma rede. Veja que na regra 1 você está fazendo um redirect para o IP 192.168.0.105… enquanto nas demais você está redirecionando para o IP 192.168.1.196.  ???

    Com 1 ip público posso redirecionar múltiplas portas ? Talvez esse seja o problema.

    Você pode redirecionar quantas portas quiser das 65535. Quanto a isso, sem nenhum problema.

    Volto a repetir que deve ser algum erro de configuração de endereçamento ou rota interna…Verifique a questão das redes diferentes!

    Abraços!
    Jack

    Peguei a 1 regra ali e troquei para outro servidor 192.168.0.107 e o acesso foi bem sucedido,mas ao trocar o destination adress para outro ip público que a copel me forneceu o acesso não acontece.A regra é a mesma apenas com o destination adress em network e o ip 200.x.x.x/29(cidr)

    Não sei o que ta acontecendo.
    Peço ajuda aos universitários  :-\



  • @vina18:

    Peguei a 1 regra ali e troquei para outro servidor 192.168.0.107 e o acesso foi bem sucedido,mas ao trocar o destination adress para outro ip público que a copel me forneceu o acesso não acontece.A regra é a mesma apenas com o destination adress em network e o ip 200.x.x.x/29(cidr)

    Se você quer proceder com redirects de outros IPs públicos do seu range /29, cadastre-os primeiros em "Firewall->Virtual IP". Só assim você poderá escolhê-los no campo "Destination" no momento de criar sua regra de NAT!

    Abraços!
    Jack



  • Na regra de nat, aplicar uma regra com ip e mascara/29, vai criar regras para toda a faixa.

    Confere na wan se você tem as regras para liberar o acesso aos outros ips internos.

    Não vejo a necessidade de subir outros ips para resolver este problema.

    qual a mascara de rede da sua lan?



  • @marcelo /16 marcelo classe B

    @Jack eu adicionei o ip do meu outro ip público em virtual ips,mas mesmo assim não consigo acessar(já havia uma regra para o servidor que está funcionando no ip público principal).
    Selecionei o ip em destination adress que cadastrei em virtuais ips segunda sua dica jack.

    Segue a imagem de como ficou:

    Dica do jack:

    Nada de funcionar  :-\… testei o ssh pelo putty e nada apenas o ts para o servidor 192.168.0.105 funciona.



  • Muda seu virtual ip de proxy arp para alias ip.

    O proxy arp com /29 publica todos os ips da faixa.

    vamos focar em um problema de cada vez.

    Na configuração do nat você pode marcar a opção para associar uma regra de firewall a este nat.



  • @marcelloc:

    Muda seu virtual ip de proxy arp para alias ip.

    O proxy arp com /29 publica todos os ips da faixa.

    vamos focar em um problema de cada vez.

    Na configuração do nat você pode marcar a opção para associar uma regra de firewall a este nat.

    Troquei marcello .. sem sucesso ainda  :-\ tanto /29 como /24 não funcionou

    Segue imagem:

    Grato pela ajuda.

    Se puder me dar um exemplo para tal situação lhe agradeço.



  • Você fez um nat para o servidor de acesso remoto e cadastrou ele como ip na sua tabela de ips virtuais?

    Não entendi esta configuração.



  • @marcelloc:

    Você fez um nat para o servidor de acesso remoto e cadastrou ele como ip na sua tabela de ips virtuais?

    Não entendi esta configuração.

    -O virtual ip do acesso remoto foi criado automaticamente ao criar a 1ª regra.
    -O problema é no ssh ,não consigo fazer funcionar com o ip 200.195.xxx.xxx/29 ou /24.

    Se puder me mostra 1 exemplo fico grato marcello.



  • Vina,

    O seu primeiro já mostra a configuração correta(exceto pelo ultimo nat).

    Confere em (firewall -> rules -> wan )se você não aplicou alguma regra que bloqueia o acesso liberado pelo nat.

    att,

    Marcello Coutinho



  • @marcelloc:

    Vina,

    O seu primeiro já mostra a configuração correta(exceto pelo ultimo nat).

    Confere em (firewall -> rules -> wan )se você não aplicou alguma regra que bloqueia o acesso liberado pelo nat.

    att,

    Marcello Coutinho

    Não sei marcello  :-\ apenas o acesso remoto está funcionando .. o ssh não funciona.

    Tem algum comando no tcpdump pra mim verificar os pacotes que está entrando e saindo da minha interface wan ?

    Preciso habilitar o ssh pra tal ip WAN,em Show States não aparece nenhum log dessas regras.



  • Como estão organizadas as suas regras de wan?



  • @marcelloc:

    Como estão organizadas as suas regras de wan?

    Eu coloquei em virtual ips o ip público que quero usar e em destination adress eu o escolhi,deixei a mesma porta e o mesmo servidor interno.

    Resultado : Nada  :-\ em Wan adress funciona ,mas setando outro ip público não acontece nada.

    Tentei fazer o nat com destination adress wan adress para as portas 443 e 22 e também nada(mudei a porta para acessar o pfsense para porta padrão de 22 para 24 apenas para ter certeza de não haver conflito).

    Lenda urbana esse nat  :-X



  • Cade a regra na wan permitindo o acesso?

    Na minha opinião só falta isso. nem ip virtual você precisa.



  • @marcelloc:

    Cade a regra na wan permitindo o acesso?

    marcelloc,

    Esta regra que aparece na tela do vina18, provavelmente e o "reflect" do NAT. Então, em teoria, estaria correto.

    vina18,

    Pergunta básica, o servidor interno tem como gateway o teu pfSense? Já conferiu isso?

    Abraços!
    Jack



  • Eu não vejo as regras na wan autorizando os outros serviços, só a 3389.

    Deveria ter uma regra para cada nat.



  • @marcelloc:

    Eu não vejo as regras na wan autorizando os outros serviços, só a 3389.
    Deveria ter uma regra para cada nat.

    Ahhh sim…

    Isso é fato. Eu imagino que o vina18 tenha deixado apenas a regra como exemplo, não foi vina?

    Do contrário, obviamente que este é o problema. Aliás, já tinha cantado a pedra acima (pra conferir se o NAT tinha uma "rule atrelada")!

    ;)


Log in to reply