Sem acesso a sites "internos"



  • Pessoal, bom dia

    Tenho um problema no mínimo curioso. Tenho um bloco de IP's públicos aqui onde trabalho, pois temos alguns serviços que os necessitam, como nosso site, por exemplo.

    Utilizando o pfSense 2.1.5, não tinha problemas ao acessar nosso site (200.qualquercoisa), partindo da minha rede interna (10.0.10.0). Quando atualizei para a versão 2.2, deu um erro na montagem, imagino eu (mounting from ufs:/dev/ad0s1a falied with error 19). Como isto parou todo o acesso a internet, subi uma nova maquina já com o pfSense 2.2 e restaurei o backup: tudo funcionando perfeitamente bem.

    Entretanto, como mencionei anteriormente, perdemos acesso ao nosso site, partindo da rede interna. O que me leva a crer que pode ser uma configuração no pfSense (NAT talvez?) é que quando configuro um IP público em um dos micros, acesso o referido site normalmente.

    A nível de informação, utilizo o pfSense virtualizado no XenServer. Além da versão diferente (2.1.5 para 2.2), ativei o xentools (para monitoramento da VM) através deste tutorial que encontrei: http://blog.feld.me/posts/2014/07/pfsense-on-citrix-xenserver/

    Grato pela atenção e desculpas se fui demasiado confuso.



  • Configurou o NAT reflection nas regras? (Nat + Proxy)



  • Ola santeLLO

    Está ativo sim, acabei de verificar.
    Mais alguma idéia?

    Grato pela ajuda e atenção



  • Está tudo no mesmo segmento de rede? Como você coloca um ip externo na estação e consegue acessar o site?

    Se os segmentos estiverem isolados, use o tcpdump na console para ver onde os pacotes estão parando.



  • Oi marcelloc

    Antes de mais nada, desculpas em responder. Não estão chegando os e-mail de notificação.

    Farei o teste sugerido e posto novas respostas. Mais uma vez, obrigado a ajuda.



  • marcelloc

    Então, estamos todos em um mesmo segmento. Vou tentar elucidar:

    -tenho 4 redes atrás do meu FW (10.0.yyy.0). Todas saem pelo IP xxx.xxx.xxx.35 e deveriam chegar ao xxx.xxx.xxx.49, que é o IP do site.

    -Mesmo tentando colocar o IP no browser, não consigo acessá-lo.

    Segue o log do tcpdump:

    [2.2-RELEASE][root@]/root: tcpdump -ni xn0 host xxx.xxx.xxx.49 and port 80
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on xn0, link-type EN10MB (Ethernet), capture size 65535 bytes
    capability mode sandbox enabled
    10:16:52.131124 IP xxx.xxx.xxx.35.65019 > xxx.xxx.xxx.49.80: Flags [s], seq 504029552, win 8192, options [mss 1460,nop,wscale 2,nop,nop,sackOK], length 0
    10:16:52.131914 IP xxx.xxx.xxx.49.80 > xxx.xxx.xxx.35.65019: Flags [S.], seq 2775346938, ack 504029553, win 14600, options [mss 1460,nop,nop,sackOK,nop,wscale 4], length 0
    10:16:52.132799 IP xxx.xxx.xxx.35.65019 > xxx.xxx.xxx.49.80: Flags [.], ack 1, win 16425, length 0
    10:16:52.133730 IP xxx.xxx.xxx.35.65019 > xxx.xxx.xxx.49.80: Flags [P.], seq 1:310, ack 1, win 16425, length 309
    10:16:52.134209 IP xxx.xxx.xxx.49.80 > xxx.xxx.xxx.35.65019: Flags [.], ack 310, win 980, length 0
    10:16:52.430025 IP xxx.xxx.xxx.35.65019 > xxx.xxx.xxx.49.80: Flags [P.], seq 1:310, ack 1, win 16425, length 309
    10:16:52.430460 IP xxx.xxx.xxx.49.80 > xxx.xxx.xxx.35.65019: Flags [.], ack 310, win 980, options [nop,nop,sack 1 {1:310}], length 0
    10:16:53.033009 IP xxx.xxx.xxx.35.65019 > xxx.xxx.xxx.49.80: Flags [P.], seq 1:310, ack 1, win 16425, length 309
    10:16:53.033571 IP xxx.xxx.xxx.49.80 > xxx.xxx.xxx.35.65019: Flags [.], ack 310, win 980, options [nop,nop,sack 1 {1:310}], length 0
    10:16:53.085390 IP xxx.xxx.xxx.49.80 > xxx.xxx.xxx.35.65019: Flags [.], seq 1:5841, ack 310, win 980, length 5840
    10:16:53.085457 IP xxx.xxx.xxx.49.80 > xxx.xxx.xxx.35.65019: Flags [P.], seq 5841:6888, ack 310, win 980, length 1047
    10:16:53.289431 IP xxx.xxx.xxx.49.80 > xxx.xxx.xxx.35.65019: Flags [.], seq 1:1461, ack 310, win 980, length 1460
    10:16:53.697405 IP xxx.xxx.xxx.49.80 > xxx.xxx.xxx.35.65019: Flags [.], seq 1:1461, ack 310, win 980, length 1460
    10:16:54.236188 IP xxx.xxx.xxx.35.65019 > xxx.xxx.xxx.49.80: Flags [P.], seq 1:310, ack 1, win 16425, length 309
    10:16:54.236663 IP xxx.xxx.xxx.49.80 > xxx.xxx.xxx.35.65019: Flags [.], ack 310, win 980, options [nop,nop,sack 1 {1:310}], length 0
    10:16:54.513506 IP xxx.xxx.xxx.49.80 > xxx.xxx.xxx.35.65019: Flags [.], seq 1:1461, ack 310, win 980, length 1460
    10:16:55.435287 IP xxx.xxx.xxx.35.65019 > xxx.xxx.xxx.49.80: Flags [P.], seq 1:310, ack 1, win 16425, length 309
    10:16:55.435876 IP xxx.xxx.xxx.49.80 > xxx.xxx.xxx.35.65019: Flags [.], ack 310, win 980, options [nop,nop,sack 1 {1:310}], length 0
    10:16:56.149444 IP xxx.xxx.xxx.49.80 > xxx.xxx.xxx.35.65019: Flags [.], seq 1:1461, ack 310, win 980, length 1460
    10:16:56.633228 IP xxx.xxx.xxx.35.65019 > xxx.xxx.xxx.49.80: Flags [P.], seq 1:310, ack 1, win 16425, length 309
    10:16:56.633540 IP xxx.xxx.xxx.49.80 > xxx.xxx.xxx.35.65019: Flags [.], ack 310, win 980, options [nop,nop,sack 1 {1:310}], length 0
    
    Grato pela ajuda[/s]
    


  • OPa.. que legal..

    mais um com o mesmo problema que estou passando…..

    estranho nao to axando meu post mais.. faz apenas alguns dias..

    Vou acompanhar para ver se alguem tem alguma dica..



  • axei…

    https://forum.pfsense.org/index.php?topic=90766.msg502603#msg502603

    pelo que percebi é o mesmo problema...



  • Ki coisa de louco..

    fiz uma instalacao do freebsd10.1  puro e tentei usar o natd, da o mesmo sintoma..


Log in to reply