Não consigo acessar sites HTTPS



  • Olá pessoal,

    Procurei aqui no fórum uma solução para meu problema mas não encontrei. Estou com um problema muito estranho já faz alguns dias que não consigo acessar sites HTTPS de jeito nenhum. A página simplesmente não carrega. Estava funcionando normalmente, de repente parou. Não consigo abrir nenhum site HTTPS. Exclui e criei novamente a regra de liberação da porta HTTPS em Rules - LAN. Utilizo a versão 2.1.5 do pfSense com os serviços SQUID + SQUIDGUARD. Não acredito que seja nada relacionado a esses serviços… mas mesmo assim desabilitei. Outro teste que fiz foi liberar tudo... e mesmo assim páginas com HTTPS não carregam. Fui em Diagnostics -> States e notei que todas as conexões para porta 443 ficam "SYN_SENT:CLOSED" e para as demais portas... como a 80 por exemplo (que acesso normal) fica "ESTABLISHED:ESTABLISHED".

    Alguém já passou por isso?

    Até mais.

    Natanael Ribeiro



  • Use o tcpdump na console para ver se os pacotes estão saindo pela wan.



  • Olá marcelloc,

    Fizemos o que vc sugeriu e analisamos o tráfego de saída pela interface WAN. Estranhamente o pfSense não estava fazendo NAT quanto se tratava da porta 443. O pacote estava saindo pelo IP local e não público. Para resolver o problema criamos uma regra em "Firewall: NAT: Outbound" forçando que todos os pacotes cujo destino fosse xxx.xxx.xxx.xxx:443 passassem obrigatoriamente pela WAN.

    Não sei o porquê do problema. Alguma ideia do que poderia ocasionar isso? E se tem alguma forma diferente de resolver?

    Até mais.

    Natanael Ribeiro



  • Sua configuração de outbound nat está manual ou automática?



  • Estava automática. Agora coloquei manual. Fiz errado marcelloc?

    Até.

    Natanael Ribeiro



  • A configuração automática só faz nat se o gateway estiver configurado na interface de saída.

    Eu particularmente sempre deixo em manual para ter certeza que está da forma que preciso.



  • Então deixa eu entender… se a configuração de outbound estiver setada como automática, o pfsense só irá fazer o NAT se o campo "IPv4 Upstream Gateway" em Interface - WAN não estiver como "none", ou seja, devo informar nesse campo o meu gateway. Caso contrário... se tiver como "none" devo colocar o modo manual em Firewall: NAT: Outbound... e criar uma regra, como por exemplo:

    Interface -> WAN   
    Source -> 172.10.0.0/16   
    Source Port  -> *   
    Destination -> *     
    Destination Port -> *
    NAT Address -> WAN_Externo
    NAT Port -> *
    Static Port -> NO

    Seria isso?

    Até.

    Natanael Ribeiro



  • @natanrs:

    Seria isso?

    Sim.

    Só lembrando que 172.10 é faixa de ip válido na internet.



  • Hum… perfeito.

    Obg Marcelo. Então esse era o motivo do problema. O gateway da WAN estava "none". Imaginei que não seria necessário informar, pois como tenho apenas um gateway... e este está configurado como default, o pfSense saberia o que fazer durante o NAT. Te agradeço.

    Abraço.

    Natanael Ribeiro


Log in to reply