Problema em regra NAT



  • Sou iniciante em PFSense primeira vez que estou utilizando

    Estou com problema na criação de um nat preciso que um ip da minha lan seja acessado por fora da empresa

    wan 189.125.136.226/27
    lan 10.60.255.1

    Primeiramente criei o virtual

    Em seguida o Nat

    Estou precisando saber onde estou errando em minha regra resumindo preciso que o ip 10.60.0.28 responda por 189.125.136.232

    Obrigado pela atençao







  • Depois que criou a regra, consegue pingar o IP Alias?



  • Consigo pingar e realizar o tracert tambem sem problema



  • O que vc quer acessar neste host, um serviço web (porta 80), área remota (3389)?



  • Quero acessar um webserver que se encontra na minha rede interna

    ip do webserver = 10.60.0.28
    ip virtual valido = 189.125.136.232

    Preciso ter acesso fora da minha rede nesse webserver



  • Segue a analise do tcpdump

    tcpdump -nn -ni em0 dst host 189.125.136.232
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
    15:42:54.701324 IP 187.25.114.99.49673 > 189.125.136.232.2625: Flags ~~, seq 2689594636, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    15:43:00.431898 IP 187.25.114.99.49673 > 189.125.136.232.2625: Flags ~~, seq 2689594636, win 8192, options [mss 1460,nop,nop,sackOK], length 0
    15:43:08.561267 IP 187.25.114.99.49674 > 189.125.136.232.2625: Flags ~~, seq 2170010024, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    15:43:08.574384 IP 187.25.114.99.49675 > 189.125.136.232.2625: Flags ~~, seq 1461278711, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    15:43:13.313883 IP 187.25.114.99.49675 > 189.125.136.232.2625: Flags ~~, seq 1461278711, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    15:43:13.313913 IP 187.25.114.99.49676 > 189.125.136.232.2625: Flags ~~, seq 3572917413, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    15:43:13.321753 IP 187.25.114.99.49674 > 189.125.136.232.2625: Flags ~~, seq 2170010024, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    15:43:16.054112 IP 187.25.114.99.49676 > 189.125.136.232.2625: Flags ~~, seq 3572917413, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    15:43:18.451286 IP 187.25.114.99.49674 > 189.125.136.232.2625: Flags ~~, seq 2170010024, win 8192, options [mss 1460,nop,nop,sackOK], length 0
    15:43:18.453285 IP 187.25.114.99.49675 > 189.125.136.232.2625: Flags ~~, seq 1461278711, win 8192, options [mss 1460,nop,nop,sackOK], length 0
    15:43:21.703108 IP 187.25.114.99.49676 > 189.125.136.232.2625: Flags ~~, seq 3572917413, win 8192, options [mss 1460,nop,nop,sackOK], length 0

    tcpdump -nn -ni em1 dst host 10.60.0.28
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
    15:43:00.431920 IP 187.25.114.99.49673 > 10.60.0.28.443: Flags , seq 2689594636, win 8192, options [mss 1460,nop,nop,sackOK], length 0
    15:43:08.561330 IP 187.25.114.99.49674 > 10.60.0.28.443: Flags , seq 2170010024, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    15:43:08.574413 IP 187.25.114.99.49675 > 10.60.0.28.443: Flags , seq 1461278711, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    15:43:13.313909 IP 187.25.114.99.49675 > 10.60.0.28.443: Flags , seq 1461278711, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    15:43:13.313952 IP 187.25.114.99.49676 > 10.60.0.28.443: Flags , seq 3572917413, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    15:43:13.321769 IP 187.25.114.99.49674 > 10.60.0.28.443: Flags , seq 2170010024, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    15:43:16.054134 IP 187.25.114.99.49676 > 10.60.0.28.443: Flags , seq 3572917413, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
    15:43:18.451311 IP 187.25.114.99.49674 > 10.60.0.28.443: Flags , seq 2170010024, win 8192, options [mss 1460,nop,nop,sackOK], length 0
    15:43:18.453301 IP 187.25.114.99.49675 > 10.60.0.28.443: Flags , seq 1461278711, win 8192, options [mss 1460,nop,nop,sackOK], length 0
    15:43:21.703129 IP 187.25.114.99.49676 > 10.60.0.28.443: Flags , seq 3572917413, win 8192, options [mss 1460,nop,nop,sackOK], length 0
    ~~~~~~~~~~~~~~~~~~~~~~



  • Rodrigo,

    Neste IP 189.125.136.232 tem algum serviço na porta 443? Se não mude a porta 2625 pela 443.

    Vamos ver se acessa.



  • Neo,

    Realizei essa alteraçao como me indicou porem o problema persiste, nao sei mais o que posso fazer



  • @rodrigo.azevedo:

    Neo,

    Realizei essa alteraçao como me indicou porem o problema persiste, nao sei mais o que posso fazer

    Qual a porta que seu servidor 10.60.0.28 está escutando? 443, 8080?
    Tente o seguinte no Nat Port forward que você já configurou antes:

    1- Em Destination Ports = any.
    2- Em Nat Ports = porta que o seu server está escutando.

    Atenção a posição das suas regras na Wan e na Lan.

    Se não funcionar, por favor tire uma print das suas regras na Wan e na Lan e use a opção + Attachments and other options para postar as cópias de tela.



  • Vc consegue acessar de outra maquina internamente? o gw do webserver está correto?



  • Boa Tarde johnnybe

    O 10.60.0.28 esta escutando a 443

    Em Nat Port forward que voce pede para por any em Destination Port, nao vejo essa opçao apenas other, eu teria que escrever por extenso?

    Segue os prints da telas






  • @rodrigo.azevedo:

    Boa Tarde johnnybe

    O 10.60.0.28 esta escutando a 443

    Em Nat Port forward que voce pede para por any em Destination Port, nao vejo essa opçao apenas other, eu teria que escrever por extenso?

    Êita! Desculpe minha gafe. Me enganei. Coloque em Destination Port a mesma porta 443 HTTPS do seu servidor.



  • @johnnybe,

    Realizei o teste porem continuo sem sucesso, segue o print da configuração do nat

    @Neo_X

    Consigo de qualquer maquina internamente acessar o webserver pelo ip publico so nao consigo fora da minha rede




  • Então só posso supor que alguma coisa está errada no IP/Alias ou algum outro detalhe.
    Seu modem está em bridge?



  • Caso o Ip/Alias estivesse errado eu nao conseguiria acessar nem internamente correto?
    Eu nao tenho modem para esta em bridge , eu trabalho com roteador.



  • Rodrigo

    Consegue pegar algum registro no system log - firewall?

    Eu estou pingando esse IP, está ok, mas o telnet  na 443 não vai.



  • Neo_X

    No meu log nao aparece nenhum bloqueio na porta 443

    block
    Aug 28 16:45:55 WAN 201.40.22.226:55569 189.125.136.232:8080 TCP:S
    block
    Aug 28 16:58:52 WAN 1.82.184.211:6000 189.125.136.232:1433 TCP:S
    block
    Aug 28 17:05:55 WAN 182.140.245.250:80 189.125.136.232:62692 TCP:SA
    block
    Aug 28 17:06:20 WAN 119.147.0.189:6000 189.125.136.232:1433 TCP:S
    block
    Aug 28 17:27:10 WAN 90.83.238.40:59116 189.125.136.232:3389 TCP:S
    block
    Aug 28 17:27:12 WAN 90.83.238.40:59116 189.125.136.232:3389 TCP:S
    block
    Aug 28 17:31:18 WAN 126.15.243.112:6000 189.125.136.232:1433 TCP:S
    block
    Aug 28 17:31:33 WAN 116.255.163.8:6000 189.125.136.232:1433 TCP:S
    block
    Aug 28 17:33:27 WAN 141.212.121.125:41855 189.125.136.232:22 TCP:S
    block
    Aug 28 17:36:34 WAN 203.80.130.6:1259 189.125.136.232:445 TCP:S
    block
    Aug 28 17:36:37 WAN 203.80.130.6:1259 189.125.136.232:445 TCP:S
    block
    Aug 28 17:39:59 WAN 192.126.113.145:27285 189.125.136.232:1433 TCP:S
    block
    Aug 28 17:41:35 WAN 60.191.170.125:6000 189.125.136.232:1433 TCP:S
    block
    Aug 28 17:48:05 WAN 116.255.210.217:6000 189.125.136.232:1433 TCP:S
    block
    Aug 28 17:52:27 WAN 61.147.103.5:6000 189.125.136.232:1433 TCP:S
    block
    Aug 28 17:52:34 WAN 60.191.170.125:6000 189.125.136.232:1433 TCP:S
    block
    Aug 28 17:54:58 WAN 187.9.9.130:10373 189.125.136.232:80 TCP:S
    block
    Aug 28 17:55:01 WAN 187.9.9.130:10373 189.125.136.232:80 TCP:S
    block
    Aug 28 17:55:07 WAN 187.9.9.130:49451 189.125.136.232:80 TCP:S
    block
    Aug 28 17:55:10 WAN 187.9.9.130:49451 189.125.136.232:80 TCP:S
    block
    Aug 28 17:55:16 WAN 187.9.9.130:13122 189.125.136.232:80 TCP:S
    block
    Aug 28 17:55:19 WAN 187.9.9.130:13122 189.125.136.232:80 TCP:S
    block
    Aug 28 17:58:52 WAN 94.102.51.121:22 189.125.136.232:60553 TCP:SA

    E tenho regra liberando tudo na 443 segue print




  • Mais algum print que necessite?

    Nao encontro erros em regra de liberaçao de portas e nem na criação do nat



  • Você disse que usa roteadores e não modem. Será que não é no roteador o problema? Alguma coisa está impedindo este Nat.
    Em ultimo caso, verifique o Outbound do pfSense. Está em manual ou automático?



  • Esta manual, poderia me dar uma breve explicaçao sobre o outbound



  • Já que esta o outbound manual  cria uma regra da WAN tudo como any e faça o teste.



  • Realizei o teste e continuo nao conseguindo
    ficaria assim?( segue em anexo)




  • O Problema era o gateware default da minha lan,

    Obrigado pela ajuda de todos


Log in to reply