Como fazer NAT no PFSENSE + Link GVT (ROTEADOR POWERBOX)



  • Boa tarde, prezados.

    Estou passando por um problema em um cliente. Sempre configurei PFSense para links dedicados Embratel e fiz NAT e nunca problemas.

    Neste cliente o cenário é diferente. Trata-se de um link VDSL da GVT 35Mb. O roteador é Powerbox. Segue abaixo diagrama:

    Como visto na imagem o PFSense pega a conexão do roteador PowerBox e distribui para a REDE LOCAL através do SWTICH.

    Fiz as liberações via NAT da porta 3389 através do PFSense, mas sempre que ia conferir mostrava que a porta fechada. Então para resolver acessei a interface de configuração do Roteador PowerBox GVT (192.168.25.1) e configurei a DMZ apontando para o ip WAN do PFSENSE 192.168.25.237:

    https://lh5.googleusercontent.com/-XW7pORVhpNE/U6HXYLJvv-I/AAAAAAAAAGY/kXcrhC5NmqA/s951/09_conf_dmz_powerbox.JPG

    Quando fiz isso e testei a conectividade através do You Get Signal apareceu que a porta estava aberta conforme imagem abaixo:

    Até aí tudo bem. Acontece que quando vou conectar via RDP a conexão não funciona (vê imagem abaixo):

    Obs: Quando faço acesso na rede local pelo IP privado do Servidor (10.0.0.100) o acesso remoto funciona sem problemas:

    Segue prints das minhas configurações de NAT…

    Firewall –> NAT:

    Firewall –> Regras:

    Obs: Essa regra foi criada automaticamente pelo PFsense após criar o NAT.

    Alguém sabe onde estou errando? O que mais preciso fazer para resolver o problema? Obrigado!!!



  • tenho o mesmo modem, como ele nao faz bridge, o que faco é NAT de portas no Powerbox tambem…



  • Lucas,

    Por esse seu método é possível, mas acredito que tem outra maneira de sanar o problema… pois depois que fiz a DMZ as conexões passaram a dar como abertas no portscan, porém não está funcionando.

    Alguém sabe uma solução que não seja utilizando o NAT do Power Box?



  • @feliperl:

    Lucas,

    Por esse seu método é possível, mas acredito que tem outra maneira de sanar o problema… pois depois que fiz a DMZ as conexões passaram a dar como abertas no portscan, porém não está funcionando.

    Alguém sabe uma solução que não seja utilizando o NAT do Power Box?

    A intenção não é dificultar… mas fica complicado ficar com duas interfaces de gerenciamento para rede... Sem contar que a faixa de IP da Lan é diferente da faixa do POWERBOX o que impede os redirects.



  • tem formas "nao oficiais" de liberar bridge nesse modem, uma rapida busca no google vc acha, é bem simples, a galera fez ate um programinha que faz tudo automatico.. porem a operadora perde acesso a ele e nao consegue mais atualizar… ai nao sei como fica...



  • Alterar o firmware do PowerBox é uma solução temporaria, sendo que a própria GVT atualiza o modem remotamente e ele volta com firmware original.
    Faz a DMZ pro ip do PFsense como já fez que dá certo, tenho cliente extamente com a mesma configuração e funciona perfeitamente.
    Na aba NAT o meu está assim ó:


    (observe que tenho mais serviços redirecionados pra esse servidor)

    Tenta usar o site canyouseeme pra ter certeza do sobre a liberação da porta 3389, outra observação é que vc nao precisa colocar o numero da porta no mstsc quando vc deixa na padrão 3389.
    Verifica também se o firewall do windows ou do anti-virus desse pc com RDP não está bloqueando acesso externo, já passei trabalho com isso.



  • Olá!

    Galera, esse modem não possui a função de DMZ? Se possui, só fize um IP na interface WAN do PFSense na mesma subrede do modem claro, ai no modem coloquem como DMZ o ip do PFSense, ele vai direcionar qualquer conexão para o IP DMZ, ai as regras de NAT no PFSense já são suficientes.



  • @henriquejensen:

    Alterar o firmware do PowerBox é uma solução temporaria, sendo que a própria GVT atualiza o modem remotamente e ele volta com firmware original.
    Faz a DMZ pro ip do PFsense como já fez que dá certo, tenho cliente extamente com a mesma configuração e funciona perfeitamente.
    Na aba NAT o meu está assim ó:


    (observe que tenho mais serviços redirecionados pra esse servidor)

    Tenta usar o site canyouseeme pra ter certeza do sobre a liberação da porta 3389, outra observação é que vc nao precisa colocar o numero da porta no mstsc quando vc deixa na padrão 3389.
    Verifica também se o firewall do windows ou do anti-virus desse pc com RDP não está bloqueando acesso externo, já passei trabalho com isso.

    Olá amigo. Como falado no post já fiz a DMZ. Minha aba NAT está com as confs semelhantes a sua.
    Fiz o teste no CanYouSeeMe e deu resposta que a porta está aberta:
    Success: I can see your service on 177.17.3.19 on port (3389)
    Your ISP is not blocking port 3389

    Não existe firewall ou Antivirus bloqueando, pois quando era só o roteador sem PFSense o acesso remoto funcionava normalmente.
    Obs: Colocando ou não a porta 3389 o acesso remota não funciona no rdp.



  • @LFCavalcanti:

    Olá!

    Galera, esse modem não possui a função de DMZ? Se possui, só fize um IP na interface WAN do PFSense na mesma subrede do modem claro, ai no modem coloquem como DMZ o ip do PFSense, ele vai direcionar qualquer conexão para o IP DMZ, ai as regras de NAT no PFSense já são suficientes.

    LF,

    fiz exatamente o que você descreveu (conforme também descrevi no post), mas o erro continua.



  • qual modem GVT o Powerbox Antigo ? tem foto? se for o antigo ele faz bridge sim ! eu tenho ele aqui na empresa.



  • Olá,

    Uma coisa que notei, não é preciso colocar ":3389" no final do IP, pois essa já é a porta padrão.

    Use o tcpdump no PFSense, veja se os pacotes estão ao menos chegando no PFSense. Ai pelo menos temos certeza se o problema é no PFSense ou no modem.



  • @VoiD_Junior:

    qual modem GVT o Powerbox Antigo ? tem foto? se for o antigo ele faz bridge sim ! eu tenho ele aqui na empresa.

    Junior, é o novo. Não faz bridge.



  • @feliperl:

    @VoiD_Junior:

    qual modem GVT o Powerbox Antigo ? tem foto? se for o antigo ele faz bridge sim ! eu tenho ele aqui na empresa.

    Junior, é o novo. Não faz bridge.

    Eu tenho esse, mas bom.

    Então puxa via IP Dinâmico, ou compra um modem.
    Ou liga para a gvt .. para o técnico ir ai habilitar a opção de bridge.



  • Amigos,

    Acabei de verificar o seguinte. Quando estou fora da minha rede consigo acessar pelo endereço de ip público (177.17.3.X), porém quando estou conectado na rede local que a conexão RDP dá erro.

    Metade do problema resolvido (eu nem tinha percebido esse detalhe). Como faço pro host externo funcionar dentro da rede interna? É alguma liberação no firewall?



  • @feliperl:

    Amigos,

    Acabei de verificar o seguinte. Quando estou fora da minha rede consigo acessar pelo endereço de ip público (177.17.3.X), porém quando estou conectado na rede local que a conexão RDP dá erro.

    Metade do problema resolvido (eu nem tinha percebido esse detalhe). Como faço pro host externo funcionar dentro da rede interna? É alguma liberação no firewall?

    verificou as regras na wan?



  • @feliperl:

    Amigos,

    Acabei de verificar o seguinte. Quando estou fora da minha rede consigo acessar pelo endereço de ip público (177.17.3.X), porém quando estou conectado na rede local que a conexão RDP dá erro.

    Metade do problema resolvido (eu nem tinha percebido esse detalhe). Como faço pro host externo funcionar dentro da rede interna? É alguma liberação no firewall?

    Ative o NAT Reflection da sua WAN



  • @lucaspolli:

    @feliperl:

    Amigos,

    Acabei de verificar o seguinte. Quando estou fora da minha rede consigo acessar pelo endereço de ip público (177.17.3.X), porém quando estou conectado na rede local que a conexão RDP dá erro.

    Metade do problema resolvido (eu nem tinha percebido esse detalhe). Como faço pro host externo funcionar dentro da rede interna? É alguma liberação no firewall?

    Ative o NAT Reflection da sua WAN

    lucaspolli ativei o nat reflection de minha WAN. Testei com as opções: Enable (Pure NAT) e Enable (Nat + Proxy) e não funcionou.



  • nao sei se funciona com DMZ (nunca testei) acredito que somente com bridge..

    se vc acessa por url, pode cadastrar no DNS Forwarder em Host Override



  • @lucaspolli:

    nao sei se funciona com DMZ (nunca testei) acredito que somente com bridge..

    se vc acessa por url, pode cadastrar no DNS Forwarder em Host Override

    Lucas,

    Mesmo acessando pelo IP Público não está funcionando. Não acredito que problema seja a DMZ, pois dei um tracert no IP e o primeiro salto que apareceu foi ip local do PFSense (10.0.0.254).

    print:



  • desative a opcao "Block private networks" da sua wan outra dica, passe seu pfsense para ingles



  • Primeira pergunta:
    Qual a necessidade de acessar usando o IP externo?

    Segundo:
    Vá em System > Advanced > Firewall / NAT, desça até a opção "NAT Reflection mode for port forwards" e deixe como disabled.

    Abra a sua regra de NAT Port Forward para o Terminal Service em questão, na opção "NAT reflection", deixe como "Pure NAT".

    Se mesmo assim não resolver, volte em System > Advanced etc e mude para "Pure NAT".



  • Ligue para a GVT e pede para o técnico por para BRIDGE !  ???

    ele funciona.. só não é liberado para essa função ! mas o técnico da gvt pode liberar !



  • @LFCavalcanti:

    Primeira pergunta:
    Qual a necessidade de acessar usando o IP externo?

    Segundo:
    Vá em System > Advanced > Firewall / NAT, desça até a opção "NAT Reflection mode for port forwards" e deixe como disabled.

    Abra a sua regra de NAT Port Forward para o Terminal Service em questão, na opção "NAT reflection", deixe como "Pure NAT".

    Se mesmo assim não resolver, volte em System > Advanced etc e mude para "Pure NAT".

    LFCavalcanti, obrigado pelas dicas, mas não funcionou. Executei os três procedimentos listados e sem êxito. Prints:



  • @VoiD_Junior:

    Ligue para a GVT e pede para o técnico por para BRIDGE !  ???

    ele funciona.. só não é liberado para essa função ! mas o técnico da gvt pode liberar !

    Já liguei Junior. O técnico não põe para Bridge os novos equipamentos da GVT. Um absurdo!

    Por isso estou focando na solução que seja diretamente pelo PFSense sem precisar envolver a GVT.



  • A versão atual do meu PFSense é: 2.1-RELEASE (i386)



  • @LFCavalcanti:

    Primeira pergunta:
    Qual a necessidade de acessar usando o IP externo?

    Segundo:
    Vá em System > Advanced > Firewall / NAT, desça até a opção "NAT Reflection mode for port forwards" e deixe como disabled.

    Abra a sua regra de NAT Port Forward para o Terminal Service em questão, na opção "NAT reflection", deixe como "Pure NAT".

    Se mesmo assim não resolver, volte em System > Advanced etc e mude para "Pure NAT".

    Respondendo sua pergunta a necessidade do IP Externo não é para o TS. Na verdade são para as câmeras DVR. Estou usando o TS RDP 3389 apenas como exemplo.

    O diretor da empresa tem notebook e ele acessa as câmeras tanto dentro da empresa quanto em casa. Então que não seja necessário fazer duas configurações de DVR uma para quando ele estiver interno e outra para quando ele estiver externo estou procurando essa solução…

    Abs!



  • uma vez tentei fazer NAT neste modem e não deu, pois ele não tem opção bridge, a GVT só libera o bridge se você contratar o IP fixo.
    quanto ao NAT no pfsense olha este post, pode ser que ajude !

    https://forum.pfsense.org/index.php?topic=78559.0



  • @feliperl:

    Respondendo sua pergunta a necessidade do IP Externo não é para o TS. Na verdade são para as câmeras DVR. Estou usando o TS RDP 3389 apenas como exemplo.

    O diretor da empresa tem notebook e ele acessa as câmeras tanto dentro da empresa quanto em casa. Então que não seja necessário fazer duas configurações de DVR uma para quando ele estiver interno e outra para quando ele estiver externo estou procurando essa solução…

    Abs!

    DVR's sao bem chatos de fazer NAT, eles usam varias portas TCP e UDP, verifique com o fabricante quais portas vc deve liberar…
    outro detalhe, verifique o gateway do equipamento, ele deve ser o seu pfsense


Log in to reply