NAT 1:1 não funciona corretamente

rossisolrac

Olá pessoal, estou iniciando agora no mundo PFSense por necessidade e por curiosidade.
Já procurei na net, neste fórum (inclusive em inglês), no youtube…
Instalei o PFSense 2 em um servidor para substituir o firewall anterior que está dando problemas (ASTARO, craqueado, venceu em 2006 a licença).

Configurei tudo certinho, todas as máquinas navegam normal.
O problema: preciso imprimir via terminal (o famoso ambiente mainframe), tenho um link que faz interface com esse mainframe (que é remoto) cuja classe de rede é diferente da que uso na rede local;
Essa impressao tem que ir para o mainframe e voltar, fazer o NAT/DNAT para a máquina com IP Local e imprimir (no firewall anterior funcionava, agora não sei por que raios parou, eu ja apaguei e reconfigurei a interface virtual e nada de voltar a funcionar);

Traduzindo:

IP DO SERVIÇO DE IMPRESSAO -> 10.100.44.90
IP INTERNO -> 192.168.2.20

Quando a impressão sai ela vai da maquina interna (192.168.2.20), troca o endereço para 10.100.44.90 e volta. Esta volta que não está dando certo, segundo o pessoal do serviço de impressão, a resposta é que é impossivol conectar, mas eles conseguem pingar o endereço normalmente.

--> 192.168.2.20 --> 10.100.44.90 --> 192.168.2.20

Já configurei na regra de NAT 1:1 para redirecionar os ips e nada!
O que posso estar fazendo errado?
Obrigado.
Rossini Sousa

marcelloc

rossisolrac,

Primeiramente, bem vido ao fórum.

você já usou o tcpdump para monitorar este trafego de pacotes? ou seja já conferiu se o pacote sai do pfsense com o ip correto e se o servidor remoto responde alguma coisa?

Você criou as regras de firewall para o nat funcionar?

att,
Marcello Coutinho

rossisolrac

Primeiramente, obrigado pela resposta rápida.
Sim, habilitei, tanto que os computadores navegam normalmente pelos dois links que existem na rede. Alterei ate a sub rede para 192.168.23.0…

Vou testar com o TCP DUMP, aqui estão uns screens do firewall.

Virtual IPS

FIREWALL RULES

NAT 1:1

A regra que estou testando é a primeira, do PC 10.100.44.99, somente após esta funcionar é que irei implementar as demais.

marcelloc

Destination no nat 1:1 costuma se any como esta na primeira regra.

O nat esta na interface SESEC, portanto a regra que libera o acesso externo ao ip 10.100.44.99 precisa estar na interface SESEC.

att,
Marcello Coutinho

rossisolrac

Destination no nat 1:1 costuma se any como esta na primeira regra.

Certo, estou testando apenas a primeira, onde está ANY, as demais vou implementar direito apenas quando esta funcionar;

O nat esta na interface SESEC, portanto a regra que libera o acesso externo ao ip 10.100.44.99 precisa estar na interface SESEC.

Você quer dizer, a RULE? Porque a rede SESEC (10.100.44.99) é a rede "externa" nesse caso.
Qual seria a rule então? Liberar qualquer tráfego em qualquer porta com origem 10.100.44.99 e destino 192.168.23.19, é isso?
Ruim que só posso testar na segunda-feira agora…
Valeu, quando testar posto o resultado.

marcelloc

@rossisolrac:

Você quer dizer, a RULE? Porque a rede SESEC (10.100.44.99) é a rede "externa" nesse caso.
Qual seria a rule então? Liberar qualquer tráfego em qualquer porta com origem 10.100.44.99 e destino 192.168.23.19, é isso?

Crie a regra entendendo que ela é verificada depois da tradução do nat.
interface sesec com origem sesec network e destino 192.168.23.19

rossisolrac

Valeu cara, na segunda testo pra ver se funciona.

rossisolrac

Sacanagem, ele parou de pingar pra fora, devo ter feito alguma besteira.