[Resolvido] Ajuda com NAT 1:1

darkknight · Sep 6, 2012, 8:58 PM

Olá johnnybe, novamente, muito obrigado por responder.

Respondendo, o switch é gerenciável. Eu inclusive adotei as IDs que já estão configuradas nele para o pfSense.
Quanto à esta solução que você citou da Net, funcionaria para IP dinâmico? Não tenho a informação de que a Net trabalha com IPs fixos.

Quanto à LAN, o próprio pfSense me entregou essa regra, anexada ao post.
Nesta segunda regra, a LAN já não deveria enxergar a OPT1 e todas as demais?

Pretendo fazer o Balance + Failover, mas preciso antes resolver um problema de navegação incomum:
o modem da NET assumiu a interface WAN (default gateway), o modem da Telefonica a OPT2; se eu desconecto qualquer um deles, deixando apenas um, deixo de acessar a internet. Consigo pingar estas interfaces, consigo pingar o gateway que estiver conectado mas se eu realizar o ping para, por exemplo, 8.8.8.8, independente da interface, não tenho resposta.
Em System -> Gateways -> Routing deixei tudo dinâmico, para troubleshooting e nada.
Segue outro anexo, sobre DNS.

Complexo…
Obrigado!

johnnybe · Sep 6, 2012, 9:30 PM

@darkknight:

Respondendo, o switch é gerenciável. Eu inclusive adotei as IDs que já estão configuradas nele para o pfSense.
Quanto à esta solução que você citou da Net, funcionaria para IP dinâmico? Não tenho a informação de que a Net trabalha com IPs fixos.

A Net Virtua tem IP dinâmico. Funciona sim, fazendo NAT Port Forward. Tenho dois clientes que usam a Net Virtua. Também uso Net aqui no meu escritório e em casa. O único problema com provedores que fornecem IP dinâmico, na falta de uma VPN, é o acesso remoto à GUI por DNS, que você pode resolver configurando Services: Dynamic DNS clients.

@darkknight:

Quanto à LAN, o próprio pfSense me entregou essa regra, anexada ao post.
Nesta segunda regra, a LAN já não deveria enxergar a OPT1 e todas as demais?

Não, conforme eu disse antes. E, pelas suas cópias de tela, você tem mais do que 4 (quatro) interfaces: WAN, LAN, OPT1, OPT2, OPT3, OPT4, OPT5, OPT6. Você tinha dito que eram quatro, mas contei 8 (oito): Uma WAN, uma LAN + 6 (seis) OPT = 8 (oito).

Desculpe-me, mas está tudo muito confuso. ???

darkknight · Sep 6, 2012, 10:28 PM

johnnybe,

quiz dizer fisicamente, eu possuo 4. Desculpe por isto.
Enfim, consegui navegar pelos meus 3 links, agora, o mais importante, como ficaria a regra de NAT Port Forward, johnnybe?

Obrigado, mais uma vez!

johnnybe · Sep 7, 2012, 12:25 AM

@darkknight:

johnnybe,

quiz dizer fisicamente, eu possuo 4. Desculpe por isto.
Enfim, consegui navegar pelos meus 3 links, agora, o mais importante, como ficaria a regra de NAT Port Forward, johnnybe?

Obrigado, mais uma vez!

Já respondi isso antes. Veja aqui:
http://forum.pfsense.org/index.php/topic,53288.msg284932.html#msg284932

darkknight · Sep 10, 2012, 9:00 PM

johnnybe,

obrigado mas infelizmente ainda não funcionou.
Não consigo entender o que está acontecendo.

johnnybe · Sep 10, 2012, 9:19 PM

@darkknight:

johnnybe,

obrigado mas infelizmente ainda não funcionou.
Não consigo entender o que está acontecendo.

Vá em System: Advanced: Firewall and NAT e verifique se a opção "Disable NAT Reflection for port forwards" está desmarcada. Essa opção diz: Disables the automatic creation of additional NAT redirect rules for access to port forwards on your external IP addresses from within your internal networks.
Se não estiver, desmarque-a e clique em Save. Se não for isso o problema pode ser DNS, ou conflito de portas. Qual é a porta que seu servidor web utiliza? Em qual porta seu pfSense está ouvindo?

marcelloc · Sep 10, 2012, 9:51 PM

@darkknight:

O pfSense, após sua instalação, me mostra duas das quatro interfaces de rede que o servidor possui: a LAN e uma WAN.

Você já foi na tela de configuração de interfaces para ver se ele reconheceu as outras e só está esperando você atribuir a interface física a uma opt?

@darkknight:

Os problemas começam quando eu crio 4 VLANs que usamos aqui mais as outras duas interfaces que servirão para os outros links.

São poucos os casos em que placas de rede funcionam com vlans tag e untag simultaneamente, você lembrou de "tagear" todas as vlans na hora de configurar a porta do switch e o pfsense?

Para publicar seu servidor web nos 3 links , eu usaria o pacote do varnish(http). Com ele você consegue disponibilizar o site nos tres links e ainda reduzir a carga do servidor web.

darkknight · Sep 11, 2012, 12:33 AM

@johnnybe:

@darkknight:

johnnybe,

obrigado mas infelizmente ainda não funcionou.
Não consigo entender o que está acontecendo.

Vá em System: Advanced: Firewall and NAT e verifique se a opção "Disable NAT Reflection for port forwards" está desmarcada. Essa opção diz: Disables the automatic creation of additional NAT redirect rules for access to port forwards on your external IP addresses from within your internal networks.
Se não estiver, desmarque-a e clique em Save. Se não for isso o problema pode ser DNS, ou conflito de portas. Qual é a porta que seu servidor web utiliza? Em qual porta seu pfSense está ouvindo?

Obrigado por responder!
Bom, no momento não estou na empresa, verei esta informação mas, se não me engano, ao final da regra há esta opção, não sei se seria a mesma coisa: use default, enable e disable.
Mas verificarei em Advanced e te darei uma resposta em seguida.
E, respondendo suas perguntas, a porta utilizada é a 81 e na configuração do Port Forward, como não tem como deixar como ANY, eu deixo 80 em FROM e 81 em TO.
Se nada disso funcionar, tirarei a evidência da minha configuração de DNS e da regra para dar uma olhada.
Só um detalhe: o IP que é apontado para o Servidor vem do Speedy, só que ele não é mais nosso link default (gateway), não tem problema? Configurei Load Balance, igualando as Tiers para todos os 3 gateways.

Obrigado, abraços!

darkknight · Sep 11, 2012, 12:46 AM

@marcelloc:

Você já foi na tela de configuração de interfaces para ver se ele reconheceu as outras e só está esperando você atribuir a interface física a uma opt?

**Obrigado por responder!

Já sim, marcelloc, quanto a isto está ok, as interfaces estão OK.**

@marcelloc:

São poucos os casos em que placas de rede funcionam com vlans tag e untag simultaneamente, você lembrou de "tagear" todas as vlans na hora de configurar a porta do switch e o pfsense?

Para publicar seu servidor web nos 3 links , eu usaria o pacote do varnish(http). Com ele você consegue disponibilizar o site nos tres links e ainda reduzir a carga do servidor web.

**Quanto às VLANs, aproveitei a configuração existente dos meus switches, já testei está tudo ok. Era questão de regra.
Agora, essa tua sugestão é bem atrativa.
Primeiramente vou seguir os passos do johnnybe, dar um feedback das sugestões dele e, se for o caso, parto para essa tua.
Colegas, obrigado pela ajuda!

Abraços**!

marcelloc · Sep 11, 2012, 12:48 AM

@darkknight:

e na configuração do Port Forward, como não tem como deixar como ANY, eu deixo 80 em FROM e 81 em TO.

O nat fica com source port any, destination port 80 e nat port 80(porta do servidor web)

darkknight · Sep 11, 2012, 9:17 PM

johnnybe,

obrigado novamente, segui as tuas instruções, inclusive quanto à opção Disable NAT Reflection for port forwards, deixei desativada, mas ainda assim não consegui ter o redirecionamento.
Como prometido, evidenciei para fins de feedback.

Se notarem alguma coisa de errado, peço que me apontem para que eu faça a correção necessária.
Caros, obrigado novamente.

marcelloc · Sep 12, 2012, 3:11 AM

Seu servidor web está na porta 81? existe algum motivo em especial para esta configuração?

darkknight · Sep 12, 2012, 1:20 PM

@marcelloc:

Seu servidor web está na porta 81? existe algum motivo em especial para esta configuração?

Marcelo, te mandei uma Mensagem Pessoal só para te mostrar como funciona, mas continuaremos a conversa por aqui.

Não sei o motivo, mas está sim na porta 81.
IPPúblico:81/portalcorporerm

Será que meu problema está em "portalcorporerm" do endereço? Se eu colocar apenas o IP:porta, não abre. Preciso colocar o endereço completo, conforme exemplo acima.

Valeu, cara!

marcelloc · Sep 12, 2012, 2:19 PM

voce acessa o ip interno na porta 81?

Qual o gateway deste servidor web? é o ip do pfsense ou o ip de algum outro firewall/gateway que voce tinha antes?

darkknight · Sep 12, 2012, 8:30 PM

@marcelloc:

voce acessa o ip interno na porta 81?

Qual o gateway deste servidor web? é o ip do pfsense ou o ip de algum outro firewall/gateway que voce tinha antes?

Acabei de testar, acesso, mas sem a porta declarada, ou seja, aparentemente por HTTP, mas ainda assim preciso do complemento (http://192.168.0.155/portalcorporerm/).

O gateway ainda não é o pfSense, é um servidor que ainda está ativo, mas será substituído.
Abraços!

darkknight · Sep 12, 2012, 9:09 PM

Caros colegas,

consegui fazer o redirecionamento. A porta 81 é a externa, enquanto para acesso ao servidor, internamente, é a 80 (HTTP).
Na regra, estava invertido.

johnnybe, marcelloc, muito obrigado pela ajuda, prestatividade e, principalmente, paciência.
Até mais!

johnnybe · Sep 12, 2012, 9:53 PM

@darkknight:

Caros colegas,

consegui fazer o redirecionamento. A porta 81 é a externa, enquanto para acesso ao servidor, internamente, é a 80 (HTTP).
Na regra, estava invertido.

johnnybe, marcelloc, muito obrigado pela ajuda, prestatividade e, principalmente, paciência.
Até mais!

Excelente notícia! Podemos pedir uma coisa, em nome de todos do fórum? Coloque uma print da sua regra NAT, por favor? Isso vai ajudar outros com problemas semelhantes no futuro. Pode ser? ;)

darkknight · Sep 13, 2012, 1:42 PM

@johnnybe:

Excelente notícia! Podemos pedir uma coisa, em nome de todos do fórum? Coloque uma print da sua regra NAT, por favor? Isso vai ajudar outros com problemas semelhantes no futuro. Pode ser? ;)

Sem dúvida!

Evidências 01, 02 e 03 se referem à regra Port Forward (Firewall -> Nat -> Port Forward);

darkknight · Sep 13, 2012, 1:43 PM

Já as evidências 04 e 05 foi a regra aplicada à interface pela própria regra de NAT (Firewall -> Rules -> aba da interface onde é aplicado o Port Forward).

Abraços!

johnnybe · Sep 13, 2012, 7:34 PM

Valeu, darkknight !!!! :)