Problema ao criar NAT de entrada com 2 WANs e 1 LAN

lucio

Senhores, gostaria de ajuda para solucionar um pequeno problema, pesquisei no forum e não consegui colocar para rodar ainda corretamente.

Problema: Nat de entrada só funciona quando está no gataway (default).

WANs
le1: GVT  gataway 192.168.2.xxx
le2: BRT  gataway 192.168.1.xxx (default)

NAT: GVT TCP * * GVT address 10000 10.61.2.13 XXX
        BRT TCP * * BRT address 10000 10.61.2.13  XXX

Firewall: NAT: Outbound
Automatic outbound NAT rule generation

System: Gateway Groups

LB_GTW    GVTGW Tier 1
                BRTGW Tier 2

Pelo que verifiquei, uma das modificaçãoes é tirar "Automatic outbound NAT rule generation" mas como o firewall está rodando e não tenho como fazer um laboratorio para ficar testando, gostaria de saber de voces que são mais experitentes quais as modificaçãoes tenho que fazer.

Obrigado!!!!

marcelloc

@lucio:

Problema: Nat de entrada só funciona quando está no gataway (default).

Você vez a configuração de nat correta, verifica se nas duas wans você tem a regra do nat(criada automaticamente) e se ela não está depois de alguma regra que bloqueia tudo.

att,
Marcello Coutinho

lucio

Boa tarde,
Não tem nenhuma regra bloqueando, está tudo aberto. Como é uma pequena rede e no momento não tem necessidade de bloqueios.

As duas WANs estão com as regras identicas, editatas para o Gateway "LB_GTW"

Notei que quando altero o gateway (default) o nat passa a funcionar para o outro link. O que dá a entender que ele não está retornando pelo gateway de origem, sim pelo gateway default.

O PFsense está nativo não tem nenhum outro pacote instalado.

Obrigado.

marcelloc

@lucio:

As duas WANs estão com as regras identicas, editatas para o Gateway "LB_GTW"

O erro pode esta no entendimento das regras.

O loadbalance é colocado nas regras da LAN e não da WAN.

Se o pacote chega pela wan, o firewall sabe devolver pela wan

Se o pacote sai da sua maquina para a internet, ai sim você pode dizer por onde ele deve sair, wan1 ou wan2

lucio

Já fiz varios teste e não funcionou, com certeza estou pecando em algo simples. segue telas de como está.

Quando mudo o gateway default, a regra que está neste gateway funciona.

marcelloc

Os gateway da wan serão sempre o default. você configurou o pacote voltando para o gateway do link, gerando um loop de roteamento.

Seus ips da  GVT e BRT são validos? se não forem, desmarque os dois bloqueios na configuração da interface

lucio

As duas WANs estão com IP interno não valido. A autencicação ADSL é feita no modem e tambem tem nat do modem para o IP da WAN

Possui dois NATs no pfsense um para cada modem. nas o destino é o mesmo servidor interno

Já tirei o bloqueio que me falou!

Continua a mesma coisa

Ex. Gateway default BRT, somente consigo acessar externamente pelo IP da BRT
    Gateway default GVT, somente consigo acessar externamente pelo IP da GVT

Isso sem alterar nada nas regras de firewall e nat. somente mudo na opção System: Gateways.

marcelloc

Eu acho que você ainda não me entendeu ou eu que não te entendi.

NÃO marque NENHUM gateway nas regras da wan.

Use o tcpdump na console/ssh para ver os pacotes trafegando na GVT e na BRT.

lucio

Fiz algumas melhorias e modificações conforme recomendado.

O nat de entrada continua só funcionando em uma porta wan.

Rotas

Obrigado!

marcelloc

Marque também o use stick connections.

Acho que está na hora de ir a console e usar o tcpdump.

lucio

tcpdump host 10.61.2.13

Conectei em um 3g e tentei acessar o MS RDP na interface BRT e na GVT, so consegui conexão pelo link GVT. Tcpdump coletado no momento da conexão.
https://docs.google.com/open?id=0B6i3_HvK3xxoX0hXZWt4RWhuWU0

rodei outro tcpdump nas placas el1(GVT) e el2 (BRT) tem muita coisa, vou dar uma limpada e depois coloco aqui.

marcelloc

Lucio,

Seu tcpdump só esta em uma interface (10.61.2.x) e pelo que ela mostra, além do ts funcionando, tem trafego netbios nela  :o
10.61.2 é lan ou wan?

att,
Marcello Coutinho

lucio

Rodei o tcpdump para o host que recebe o nat, está na interface LAN. vou rodar o tcpdump para a interface wan e postar, o problema é que fica muito extenso.
Assim que filtrar aqui o conteudo retornarei o post.

obs.
Quando rodo o netstar -r ele informa  default gateway 192.168.2.126 (ip do router GVT)

Grato pela paciencia!!!

marcelloc

tcpdump -ni interface_wan port 3389

Desta forma você só filtra acessos wan à porta 3389.

lucio

Quando conecto pela le1 que é da GVT "default gateway 192.168.2.126 (ip do router GVT)"

tcpdump no momento da conexão (ip 192.168.2.10 é o da le1)

11:48:17.196847 IP ip-187-119-165-58.user.vivozap.com.br.46437 > 192.168.2.20.10000: Flags [P.], ack 1, win 229, options [nop,nop,TS val 536248 ecr 0], length 51
11:48:17.197269 IP 192.168.2.20.10000 > ip-187-119-165-58.user.vivozap.com.br.46437: Flags [P.], ack 52, win 65484, options [nop,nop,TS val 1784352 ecr 536248], length 19

No tcpdump da le2 (ligado ao router BRT-OI) não aparece nada na porta 10000 e nem na porta 3389

Quando coloco o default gateway 192.168.1.254 (ip do rourer BRT-OI) Funciona

12:06:51.202178 IP 187.119.165.58.54157 > 192.168.1.50.10000: Flags ~~, seq 4143754230, win 14600, options [mss 1452,sackOK,TS val 567937 ecr 0,nop,wscale 6], length 0
12:06:51.202551 IP 192.168.1.50.10000 > 187.119.165.58.54157: Flags [S.], seq 2401068904, ack 4143754231, win 16384, options [mss 1460,nop,wscale 0,nop,nop,TS val 0 e

Voltei e removi o default gateway 192.168.1.254 e verificando no netstat -r volta para o 192.168.2.126~~

marcelloc

@lucio:

No tcpdump da le2 (ligado ao router BRT-OI) não aparece nada na porta 10000 e nem na porta 3389

Deveriam aparecer as solicitações na porta 10000 independente do firewall estar configurado da forma correta ou não.

Verifique os nats que você fez no modem. Sugiro passar ele para modo bridge e usar o pppoe do pfsense, desta forma o ip real fica no firewall e não no modem, evitando assim duas configurações para cada porta que você quiser publicar.

att,
Marcello Coutinho

lucio

O estranho é que quando muda do default gateway o nat funciona em uma WAN e para na outra.
Aqui a configuração é muito complicada. Peguei o ambiente já montado e troquei somente o firewall.
Tem muita coisa para melhorar! uma delas é trocar os modens e configura-los como bridge que dá mais controle sobre a rede.
Aqui a navegação está OK, o unico problema é este nat que só funciona em uma WAN. Assim que conseguir resolver este pequeno detalhe posto a solução aqui.

Muito obrigado pela ajuda.

lucio

Após uma outra verificação, notei que o nat está funcionando! mas o retorno está saindo pela placa wan errada. Segue logs no momento da tentativa de conexão.

Conecto pela WAN2, loga a antrada na wan2 e tambem loga saida pela wan1.

[2.0.1-RELEASE][root@pfsense.XXXXXXX.local]/root(17): tcpdump -ni le2 port 10000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on le2, link-type EN10MB (Ethernet), capture size 96 bytes
16:32:20.341489 IP 186.213.213.211.37265 > 192.168.1.50.10000: Flags , seq 2359020169, win 8192, options [mss 1452,nop,wscale 2,nop,nop,sackOK], length 0
16:32:23.342709 IP 186.213.213.211.37265 > 192.168.1.50.10000: Flags , seq 2359020169, win 8192, options [mss 1452,nop,wscale 2,nop,nop,sackOK], length 0
16:32:29.336151 IP 186.213.213.211.37265 > 192.168.1.50.10000: Flags , seq 2359020169, win 8192, options [mss 1452,nop,nop,sackOK], length 0
16:33:08.300681 IP 177.116.4.77.52330 > 192.168.1.50.10000: Flags , seq 2969583336, win 14600, options [mss 1452,sackOK,TS val 206158 ecr 0,nop,wscale 6], length 0
16:33:24.905626 IP 177.116.4.77.47168 > 192.168.1.50.10000: Flags , seq 3215949672, win 14600, options [mss 1452,sackOK,TS val 207783 ecr 0,nop,wscale 6], length 0
^C
5 packets captured
2987 packets received by filter
0 packets dropped by kernel
[2.0.1-RELEASE][root@pfsense.XXXXXXX.local]/root(18): tcpdump -ni le1 port 10000
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on le1, link-type EN10MB (Ethernet), capture size 96 bytes
16:34:18.700632 IP 192.168.1.50.10000 > 177.116.4.77.48801: Flags [S.], seq 921551371, ack 4080999488, win 16384, options [mss 1460,nop,wscale 0,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], length 0
16:34:20.912323 IP 192.168.1.50.10000 > 177.116.4.77.48801: Flags [S.], seq 921551371, ack 4080999488, win 16384, options [mss 1460,nop,wscale 0,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], length 0
16:34:27.474526 IP 192.168.1.50.10000 > 177.116.4.77.48801: Flags [S.], seq 921551371, ack 4080999488, win 16384, options [mss 1460,nop,wscale 0,nop,nop,TS val 0 ecr 0,nop,nop,sackOK], length 0