NAT 1:1 não funciona corretamente
-
Olá pessoal, estou iniciando agora no mundo PFSense por necessidade e por curiosidade.
Já procurei na net, neste fórum (inclusive em inglês), no youtube…
Instalei o PFSense 2 em um servidor para substituir o firewall anterior que está dando problemas (ASTARO, craqueado, venceu em 2006 a licença).Configurei tudo certinho, todas as máquinas navegam normal.
O problema: preciso imprimir via terminal (o famoso ambiente mainframe), tenho um link que faz interface com esse mainframe (que é remoto) cuja classe de rede é diferente da que uso na rede local;
Essa impressao tem que ir para o mainframe e voltar, fazer o NAT/DNAT para a máquina com IP Local e imprimir (no firewall anterior funcionava, agora não sei por que raios parou, eu ja apaguei e reconfigurei a interface virtual e nada de voltar a funcionar);Traduzindo:
IP DO SERVIÇO DE IMPRESSAO -> 10.100.44.90
IP INTERNO -> 192.168.2.20Quando a impressão sai ela vai da maquina interna (192.168.2.20), troca o endereço para 10.100.44.90 e volta. Esta volta que não está dando certo, segundo o pessoal do serviço de impressão, a resposta é que é impossivol conectar, mas eles conseguem pingar o endereço normalmente.
--> 192.168.2.20 --> 10.100.44.90 --> 192.168.2.20
Já configurei na regra de NAT 1:1 para redirecionar os ips e nada!
O que posso estar fazendo errado?
Obrigado.
Rossini Sousa -
rossisolrac,
Primeiramente, bem vido ao fórum.
você já usou o tcpdump para monitorar este trafego de pacotes? ou seja já conferiu se o pacote sai do pfsense com o ip correto e se o servidor remoto responde alguma coisa?
Você criou as regras de firewall para o nat funcionar?
att,
Marcello Coutinho -
Primeiramente, obrigado pela resposta rápida.
Sim, habilitei, tanto que os computadores navegam normalmente pelos dois links que existem na rede. Alterei ate a sub rede para 192.168.23.0…Vou testar com o TCP DUMP, aqui estão uns screens do firewall.
Virtual IPS
FIREWALL RULES
NAT 1:1
A regra que estou testando é a primeira, do PC 10.100.44.99, somente após esta funcionar é que irei implementar as demais.
-
Destination no nat 1:1 costuma se any como esta na primeira regra.
O nat esta na interface SESEC, portanto a regra que libera o acesso externo ao ip 10.100.44.99 precisa estar na interface SESEC.
att,
Marcello Coutinho -
Destination no nat 1:1 costuma se any como esta na primeira regra.
Certo, estou testando apenas a primeira, onde está ANY, as demais vou implementar direito apenas quando esta funcionar;
O nat esta na interface SESEC, portanto a regra que libera o acesso externo ao ip 10.100.44.99 precisa estar na interface SESEC.
Você quer dizer, a RULE? Porque a rede SESEC (10.100.44.99) é a rede "externa" nesse caso.
Qual seria a rule então? Liberar qualquer tráfego em qualquer porta com origem 10.100.44.99 e destino 192.168.23.19, é isso?
Ruim que só posso testar na segunda-feira agora…
Valeu, quando testar posto o resultado. -
Você quer dizer, a RULE? Porque a rede SESEC (10.100.44.99) é a rede "externa" nesse caso.
Qual seria a rule então? Liberar qualquer tráfego em qualquer porta com origem 10.100.44.99 e destino 192.168.23.19, é isso?Crie a regra entendendo que ela é verificada depois da tradução do nat.
interface sesec com origem sesec network e destino 192.168.23.19 -
Valeu cara, na segunda testo pra ver se funciona.
-
Sacanagem, ele parou de pingar pra fora, devo ter feito alguma besteira.