NAT: Port Forwarding (IN) von 2.1.5 auf 2.2.2 funktioniert nicht mehr
-
Hallo,
Einige Dienste sind von Externe nach Intern über Port Forwarding (Inbound) erreichbar.Ich habe bisher Version 2.1.5 im Einsatz und ein Update auf die aktuelle Version 2.2.2 probiert.
Nach dem Updaten funktioniert keine dieser Regeln. Von Extern nach Intern ist nichts mehr erreichbar.Dann habe ich ein neues System mit 2.2.2 aufgesetztz und komplett neu eingerichtet.
Auch hier funktionieren die Port Forwarding Regeln nicht.Hat jemand einen Tipp was hier gegenüber der alten Version anders ist, oder ist das noch ein Bug?
#Update
Habe noch folgende Versionen probiert:
2.2.1: negativ
2.2 : negativ
2.1.5: positiv (eine Verbindung von Extern nach Intern an den entsprechenden Dienst klappte sofort)Beispiel: NAT: Port Forwarding
Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports
- * WAN address 443 (HTTPS) 192.xxx.xxx.xxx 443 (HTTPS)
- * WAN address 61080 192.xxx.xxx.xxx 1080
-
NAT sind ja echt Basics also das sollte schon klappen ;)
Hast du nach dem Update mal die Firewall Regeln geprüft?
Hast du es wirklich von Extern getestet oder hast du selbst auch hinter dieser PfSense gesessen?
Wenn ja dann mal prüfen wie NAT reflection eingestellt ist? (sollte dann auf enable stehen) -
Hat jemand einen Tipp was hier gegenüber der alten Version anders ist, oder ist das noch ein Bug?
Also da bin ich bei flix, ich hab mehrere Kisten von 2.1 auf 2.2 aktualisiert, und das sind PF (der Paketfilter) Basics. Da ist weder ein Bug noch was "anders" als in der alten Version, denn an der Stelle wurde am PF selbst gar nichts verändert.
Solange du uns da nicht ein wenig mehr Infos gibst, was du wie getestet hast sieht das mit den Regel oben ganz sinnvoll aus, zumindest wenn unten noch der Haken zur automatischen Regelerstellung drin ist. Sonst fehlen natürlich die Filterregeln. Und abgehende NAT sollte natürlich auch sauber klappen. :)Grüße
-
Danke für die Infos.
Ich habe u.a. auch von Außen probiert, mit Mail und den Sonden die extern stehen.
Wenn hier kein Fehler bekannt ist, werde ich mit der Version 2.2.2 noch einmal probieren.Kann ich mir vielleicht die erstellten NAT Rules komplett anzeigen lassen?
–-----------------------------
Unten in den Optionen:
NAT reflection: "Pure NAT" oder "NAT+Proxy"
Filter rule association: PassIm Firewall-Log habe ich die Verbindungen als geblockt gesehen.
Easy Rules brachte keinen Erfolg, obwohl diese unter Rules erschien....(z.B. Mail vom speziellen Host von Extern und Probes auch von Extern)
<nat><rule><source><address>HierALIASmitIPs</address>
<destination><network>wanip</network>
<port>6625</port></destination>
<protocol>tcp</protocol>
<target>192.168.xxx.104</target>
<local-port>25</local-port>
<interface>wan</interface><associated-rule-id>nat_5569a69b19e0d2.67598376</associated-rule-id></rule>
<rule><source>
<any><destination><network>wanip</network>
<port>12345</port></destination>
<protocol>tcp</protocol>
<target>192.168.xxx.134</target>
<local-port>12345</local-port>
<interface>wan</interface><associated-rule-id>nat_5569a6f2c2c096.08494504</associated-rule-id></any></rule></nat>
… -
Im Firewall-Log habe ich die Verbindungen als geblockt gesehen.
Easy Rules brachte keinen Erfolg, obwohl diese unter Rules erschien.Die Regel saß dann aber auch über den möglicherweise vorhandenen Block Regeln? Firewall arbeiten ja immer von oben nach unten.
Öffentliche IP Hast du direkt auf der PfSense? Weil private werden ja druch eine spezielle Regel auf den WAN Interface geblockt die du nur am Interface selbst rausnehmen kannst.Ansonsten wäre Screenshots schön da sieht man vielleicht mehr.
-
da fehlen die Regeln auf dem WAN Interface.
Beim anlegen der NAT Regel unten bei "Filter rule association" habe ich noch nie mit Pass gearbeitet immer mit add assosicated filter rule.
Also am besten die Regel löschen und dann neu anlegen und statt pass einfach add assosicated filter rule auswählen (sollte auch Standard sein)
Dann solltest du auf dem WAN Interface auch die Regel sehen. -
hat die PfSense denn direkt die Öffentliche IP oder hängt die noch hinter einer anderen Firewall.
Was verbirgt sicht denn hinter dem Alias Block? nicht das der das vielleicht schon weg blockt.
-
Der Alias-Block sind externe IP's - in der Version 2.1.5. die ich als Referenzsystem habe, weil hier alles funktioniert.
Jetzt zum Test in der Version 2.2.2 ist hier (*).
Was mich aber wundert, dass ich mit dem Befehl "pfctl -vvsa | grep 10.0.2.4" keine Filtereinträge finde.
Wie oben im Bild sind diese aber in der WebUI vorhanden?
-
Im Log sieht man ja das es geblockt wird.
Wenn externe IP's geblockt werden von dieser Regel kommt die Firewall ja gar nicht zu den allow Regeln.
Wenn jetzt ein * drin steht wird ja alles geblockt?
Die Firewall arbeitet immer von Oben nach Unten wenn eine Regel greift geht es nicht weiter.
Wenn du also * machst und dann block kommt er gar nicht zu den Regel.Mache diese Regel dann einfach nochmal raus zum testen und schaue ob es dann geht.
Und du hast immer noch nicht gesagt ob die Pfsense direkt die öffentliche IP hat ;) weil wenn nicht und sie eine private hat gibt es immer noch die default Regel die auch alles blocken was privat ist.
Daher beantworte die Fragen dann kommen wir sicher weiter :)
-
wenn du speicherst und apply drückst wird die config direkt aktiv.
habe im Log sehen du hast es mal mit 4443 versucht war das vertippt oder absicht? weil deine NAT Regel Leitet ja extern 443 zu inten 443 um.
Wenn dann müsstest du da extern 4443 und intern 443 machen und dann nochmal testen
ansonsten wüsste ich auch nicht weiter weil das muss so gehen.
-
Danke trotzdem.
Habe auf beiden Systemen eine Änderung in einer NAT Regel gemacht.
Unter Diagnostics: Execute command
pfctl -vvsa | grep NATauf dem System 2.1.5 wird die Konfigurationsänderung korrekt angezeigt
auf dem System 2.2.2 wird kein Änderung angezeigt.Hast Du einen Tipp.
-
Vielleicht ist das hier das Problem, ich weiß aber auch nicht weiter wie ich das lösen könnte.
Wäre schön wenn jemand einen Tipp hat :)Habe die pfS 2.2.2 zurückgesetzt und erneut probiert.
1. Befehl ausgeführt: pfctl -vvsa
Im Defaultzustand sind FILTER RULES: @0 bis @732. Habe eine NAT Rule angelegt:
keine Änderung - also der Filter ist hier nicht vorhanden, obwohl die WebUI alles korrekt anzeigt.3. Diagnostics: Execute command
pfctl -vvsa | grep 10.0.2.52
-
Erledigt:
Folgendes war das Problem.Ich hatte von der Version 2.1.5 die "ALIAS" übernommen, hier gab es auch ALIAS-URLs.
Der Befehl: "pfctl -f /tmp/rules.debug"
gab folgenden Fehler aus:
…
/tmp/rules.debug /tmp/rules.debug:32:
/var/db/aliastables/Suchen.txt"
...Alle ALIAS-URLs entfernt und der Befehl: "pfctl -f /tmp/rules.debug" gab keinen Fehler aus = OK.
Nun REBOOT
Und nun werden alle Firewall-Rules sofort mit dem Befehl: "pfctl -vvsa" angezeigt. (ggfs verfeinern pfctl -vvsa | grep NAT)Also wurden wahrscheinlich durch die "defekte'" ALIAS Table die Konfigurationen nicht korrekt übernommen.
Noch ein Hinweis: in Version 2.1.5 gab es keine Fehlermeldung.
-
Hast du zwischenzeitlich die Aliase wieder angelegt? Ich habe in meiner Konfiguration auch URL basierende Aliase und hier gabs beim Update keine Probleme. Hattest du evtl. in deinen URLs zufällig irgendwelche Sonderzeichen abseits normaler Konventionen? Ansonsten kann das an dieser Stelle natürlich auch sehr ungeschickter Zufall gewesen sein, interessant wäre bspw. gewesen, was in der Zeile 32 der Alias Tabelle stand. Vielleicht gabs hier auch ein DNS Problem beim Auflösen der URLs und der Parser hat dann Unfug da reingeschrieben.
Grüße
-
Die beiden Aliase hatte ich, wobei nach dem ich "Suchen" entfernt hatte, war der Fehler weg.
Ich habe aber beide entfernt und noch nicht neu angelegt.
Bin erstmal froh das es läuft.<alias><name>Suchen</name>
<url>www.google.de</url>
<updatefreq>32</updatefreq><address>www.google.de</address>
<descr><type>urltable</type>
<detail></detail></descr></alias>
<alias><name>Updates</name>
<url>http://updates.pfsense.org</url>
<updatefreq>128</updatefreq><address>http://updates.pfsense.org</address>
<descr><type>urltable</type>
<detail></detail></descr></alias>
