Acesso remoto ao pfSense com IP dinâmico - problema
-
Nunca precisei tanto de utilizar administração ou suporte remoto como ultimamente e notei alguns problemas quando o pfSense 2.0.1-RELEASE (amd64) está com IP dinâmico na WAN.
1- A cada vez que o Servidor Internet troca o IP publico, independente do serviço configurado no Dynamic DNS (fiz testes com OpenDns, DynDns e NO-IP), as tentativas de acesso pelo nome resulta em Tempo limite atingido.
2- Nas consultas DNS lookup, a resolução de nomes retorna o IP dinâmico atualizado mas, mesmo colocando o IP atualizado, conforme pesquisa DNS, resulta em Tempo limite atingido.
3- Consulta aos serviços OpenDns, DynDns e NO-IP, com login e senha, os IPs são os mesmos conforme pesquisa DNS anterior (2).
4- Pra conseguir acesso, preciso falar ao celular/telefone com alguém que tenha acesso interno ao pfsense e daí pedir que me forneça o IP que, naquele momento, está na interface WAN e que, curiosamente, não é o mesmo reportado pelo DNS lookup nem pelo servidor de Dynamic DNS.
Configuração DNS em System: General Setup
DNS Servers na WAN:
208.67.222.222
208.67.220.220
8.8.8.8
8.8.4.4Também tentei habilitar Allow DNS server list to be overridden by DHCP/PPP on WAN, deixando esta configuração por alguns dias sem sucesso.
Já estou começando a pensar que há falhas na administração remota do pfSense quando se usa IP dinâmico e os serviços disponíveis para esta finalidade.
Será que, mesmo com link único, o patch do Luiz Gustavo se aplica?
http://forum.pfsense.org/index.php/topic,45841.0.html -
johnnybe,
Acredito que o caminho é testar o patch(depois do backup é claro ;)) ou fazer um script que roda via cron e reinicia o serviço de dns dinâmico caso haja mudança no ip.
O ccesario postou um comando para rodar no shell que traz o ip em uso.
while [ $ ]; do links -dump www.whatismyip.com | grep ' Your IP Address Is:' ; sleep 2; doneatt,
Marcello Coutinho -
Criei minha versão dele ;)
#!/usr/local/bin/php $ip_file='/root/last_ip.txt'; if (file_exists($ip_file)) $last_ip=file_get_contents($ip_file); $my_ip=file('http://e-sac.siteseguro.ws/pfsense/remote_addr.php'); if (is_array($my_ip)) foreach ($my_ip as $line){ if (preg_match('/([0-9.]+)/',$line,$matches)){ print "Remote ip address: ".$matches[1]; if ($last_ip != $matches[1]){ #save current ip for next check file_put_contents($ip_file,$matches[1],LOCK_EX); #rc.dyndns.update require_once("config.inc"); require_once("functions.inc"); require_once("filter.inc"); require_once("shaper.inc"); services_dyndns_configure(); services_dnsupdate_process(); } } } ?> -
johnnybe,
Até agora não tive problemas com ip dinâmico, sempre usei o no-ip e por enquanto está atualizando sem necessidade de patchs adicionais… uso a versão 2.0.1 do pfsense. :-\
2- Nas consultas DNS lookup, a resolução de nomes retorna o IP dinâmico atualizado mas, mesmo colocando o IP atualizado, conforme pesquisa DNS, resulta em Tempo limite atingido.
esse tempo de limite atingido que você se refere é tentando pingar de fora para dentro? Se for isso… teria que liberar no firewall para aceitar icmp externo.
-
johnnybe,
Até agora não tive problemas com ip dinâmico, sempre usei o no-ip e por enquanto está atualizando sem necessidade de patchs adicionais… uso a versão 2.0.1 do pfsense. :-\
2- Nas consultas DNS lookup, a resolução de nomes retorna o IP dinâmico atualizado mas, mesmo colocando o IP atualizado, conforme pesquisa DNS, resulta em Tempo limite atingido.
esse tempo de limite atingido que você se refere é tentando pingar de fora para dentro? Se for isso… teria que liberar no firewall para aceitar icmp externo.
Pingar não: acesso.
Mas o ping dá o mesmo resultado. Não acho que o ICMP tenha que estar habilitado para conseguir acesso remoto. -
Acredito que o caminho é testar o patch (depois do backup é claro ;)) ou fazer um script que roda via cron e reinicia o serviço de dns dinâmico caso haja mudança no ip.
O ccesario postou um comando para rodar no shell que traz o ip em uso.
while [ $ ]; do links -dump www.whatismyip.com | grep ' Your IP Address Is:' ; sleep 2; doneEntão não sou o único com problemas desta natureza (para não dizer problemas deste "tipo"). ;)
Acredito que isto precisa ser resolvido sem aplicar patches ou comandos, na minha modestíssima opinião. -
Alterar o fonte é um processo mais demorado e requer muitos testes.
Vou procurar a rotina que atualiza o dyndns para incluir no script.
Não estou dizendo que o problema existe, só estou mostrando uma forma de testar e identificar.
-
Vou procurar a rotina que atualiza o dyndns para incluir no script.
Não estou dizendo que o problema existe, só estou mostrando uma forma de testar e identificar.
Entendido, mestre grande panda! ;D
Feito isto explique, por favor, como aplicar o script sem necessidade de reaplicá-lo a cada reicinialização.
Se não for pedir demais… :P -
johnnybe,
quando me referi a liberar o icmp era pra caso o problema fosse apenas responder um ping de fora para dentro.
Acabei de fazer um pequeno teste de acesso remoto, publiquei o acesso rdp para uma maquina interna e a interface foi a que usa ip dinâmico (acessei através do no-ip mesmo).OBS: o pfsense em questão possui dois links: Adsl dinamico e dedicado fixo.
-
johnnybe,
quando me referi a liberar o icmp era pra caso o problema fosse apenas responder um ping de fora para dentro.
Acabei de fazer um pequeno teste de acesso remoto, publiquei o acesso rdp para uma maquina interna e a interface foi a que usa ip dinâmico (acessei através do no-ip mesmo).OBS: o pfsense em questão possui dois links: Adsl dinamico e dedicado fixo.
dougf4nnie,
Desculpe-me se pareci muito seco/grosseiro antes, na minha colocação. Só estava tentando ser menos prolixo e, acredito, você também. ;D
Nada de mau na sua resposta anterior e muito menos na atual. Nenhuma coisa que desmereça a você.
Estamos todos em casa, ou no mesmo barco, se preferir. ;D -
Entendido, mestre grande panda! ;D
Feito isto explique, por favor, como aplicar o script sem necessidade de reaplicá-lo a cada reicinialização.
Se não for pedir demais… :PAchei no cron um script que roda de hora em hora para atualizar o ip, você pode alterar o tempo desta verificação ou rodar o script que postei.
Você pode usar dois pacotes simples para manter o script nos backups e com possibilidade de replicação via xml.-
Instale o pacote filer
-
acesse-o no menu diagnostics-> filer
-
crie o arquivo com o nome e localização que você quiser com o conteúdo postado aqui no forum e com permissão de execução
-
instale o cron para agendar a execução do script a cada x minutos
-
-
Obrigado, Marcello.
Vou seguir o procedimento e, assim que possível, darei um retorno. -
Galera!
Eu tenho 12 Servidores com acesso remoto em plena operação.
Vamos ao procedimento:
Supomos que o IP do PFSense na rede Interna(LAN) seja 192.168.0.254 e na WAN seja dinâmico de qualquer fornecedor(Vivo, Oi, Virtua, etc).
1 - Crie uma conta em algum serviço de DNS Dinâmico, eu geralmente uso o No-IP ou DynDNS.
2 - Crie um Host para apontar para o seu PFSense
3 - Vá em System > Advanced, Selecione HTTPS e coloque uma porta de sua preferência, aqui usarei a 85.
4 - No mesma tela, no campo "Alternate Hostnames" coloque o Host criado no No-IP/DynDNS.
3 - Agora, vá em Services > Dynamic DNS e configure o Host que você criou(Não vou explicar em detalhes).
4 - Vá em Firewal > Rules e na Interface da sua WAN crie uma regra para Permitir Tráfego ICPM apenas para o endereço da WAN
5 - Vá em Firewall > NAT e na aba Port Forward crie um Redirecionamento que receba qualquer Origem, Destino no Endereço da WAN pela porta escolhida(85), o Ip redirecionado seria o 192.168.0.254 na porta 85.Agora em um PC fora da sua Rede digite https://meuhost.no-ip.org:85 ou seja, coloque HTTPS para garantir uma conexão encriptada, você não vai querer alguém bisbilhotando seu Firewall, vai?
Depois o Host que você criou seguido da porta que está configurada.IMPORTANTE: Controle remoto via Internet SEMPRE use HTTPS e escolha uma porta diferenciada.
Se quiserem incrementar a segurança, usem o próprio PFSense para criar um Certificado de 512Bits. Restringir o acesso remoto a apenas alguns IPs remotos é ainda mais seguro, por exemplo:
Seu IP na empresa 2: 200.200.250.251. Libera apenas esse IP como origem na regra de NAT, mas deixe a porta de origem livre. -
Galera!
Eu tenho 12 Servidores com acesso remoto em plena operação.
Qual a frequência de atualização de ip destas maquinas?
Acredito que o problema enfrentado pelo johnnybe está na atualização do ip e não na configuração do serviço.
att,
Marcello Coutinho -
A maioria trabalha com várias "WANs" pois aqui na cidade temos problemas com fornecimento de Internet, se me entende, então como há falhas frequentes, vamos dizer que troque de IP pelo menos duas vezes por semana.
Eu uso as configurações que postei mesmo em conexões com IP Fixo, nunca se sabe quando a operadora vai fazer cagada e trocar as configs da conexão.
Eu tenho um NAGIOS que monitora os clientes, se trocar um IP Fixo eu recebo alerta, mas pelo menos não perco o acesso remoto ao PFSense.
OBS: Eu contratei um No-IP Plus para isso, jã que são mais de 30 Hosts.
-
Acredito que o problema enfrentado pelo johnnybe está na atualização do ip e não na configuração do serviço.
Exatamente isto.
-
Estranho, eu uso o 2.0.1 RELEASE com No-IP e ele atualiza normalmente… quando troca o IP tem um LEASE de 5 a 10 min. para atualizar o endereço no DNS, mas até ai normal.
Coloque o LOG do Sistema e do Dynamic DNS aqui para verificarmos.
-
Marcello,
Fiz o procedimento no meu pfsense doméstico, para verificação e teste, conforme telas abaixo.
Aparentemente, pelos logs do sistema, parece que tudo está ok. Minha dúvida é quanto ao comando, inserido no cron:/usr/bin/nice -n20 /etc/update_noip.sh
Não bastaria apenas?: /etc/update_noip.sh
-
O nice roda o script com baixa prioridade.
Acho que as informações ficaram misturadas, o script no cron que já esta lá não precisar ser excluido.
fiz um novo script que faz o teste de ip externo por conta própria e chama o atualizador caso não encontre o mesmo ip no arquivo de cache. -
O nice roda o script com baixa prioridade.
Qual a sugestão, neste caso?
Acho que as informações ficaram misturadas, o script no cron que já esta lá não precisar ser excluido.
fiz um novo script que faz o teste de ip externo por conta própria e chama o atualizador caso não encontre o mesmo ip no arquivo de cache.Você atualizou o script anterior ou vai postar o novo?
