Problema loopback multi-wan

Fede_Reghe · Jul 24, 2008, 5:48 PM

La mia rete è composta da due interfacce collegate a reti WAN (WAN0 e WAN1)
Le reti wan sono impostate in modo che la WAN0 fornisca connettività a LAN e DMZ (OPT1), mentre WAN1 fornisce connettività a ECC (OPT2)

Gli ip sono:
192.168.115.1 LAN
192.168.110.1 DMZ
192.168.120.1 ECC

Su DMZ c'è un webserver, dal quale è possibile accedere da LAN, DMZ, ECC e dall'esterno passando ovviamente da WAN0. Su ECC c'è un altro webserver e si accede tranquillamente dalla rete LAN,DMZ, ECC con ip locale, mentre se si utilizza l'ip esterno si accede solamente da ECC e dall'esterno.
Mi chiarisco meglio: se da qualsiasi subnet digito 192.168.120.x vedo tranquillamente il webserver su ECC, mentre se digito in LAN o in DMZ l'ip pubblico (o relativo dns) non riesco a connettermi! Invece digitando l'ip pubblico da ECC o da una rete esterna il tutto funziona correttamente!

E' un problema di loopback, perchè non riesce a fare LAN/DMZ -> WAN0 -> internet -> WAN1 -> ECC, mentre LAN/DMZ -> WAN0 -> WAN0 -> LAN/DMZ o ECC -> WAN1 -> WAN1 -> ECC funzionano correttamente.

La NAT reflection è abilitata… :(

mascaos · Jul 26, 2008, 7:09 AM

Puoi postare lo stato della NAT … Port Forward + 1:1 + Outbound. Così come hai messo giù il post sono quasi certo che è un problema di NAT. All'99%. Però se non ho la più pallida idea di come l'hai configurata in questo momento mi risulta difficile darti indicazioni.

Ciazo.-

Matteo

PS: fai una stampa delle schermate e nascondi gli ip pubblici per far prima ... mi serve solo capire come è messa giù. :D Magari anche le chermate delle interfacce :D.

Fede_Reghe · Jul 26, 2008, 9:57 PM

Ok, comunque ho notato una cosa strana: se attivo il log dei pacchetti che entrano da WAN1, vengono visualizzati correttamente quelli che arrivano dall'ip di WAN0, ma poi non arrivano al webserver… (Posto screenshot anche di quello :P)

1:1 non ho impostato nulla...

Fede_Reghe · Jul 26, 2008, 2:33 PM

Ti inoltro anche uno schema che avevo già precedentemente fatto, magari ti chiarisce un po' di più le idee ;-)

NGI = WAN0
TIN = WAN1

Non far caso alla rete Extern 10.0.0.x e alla rete interna 2600 che non centrano con pfsense ;-P

Come vedi il mondino della WAN0 comunica solo con LAN e DMZ (e VPN), mentre il WAN1 con ECC. Devo solo riuscire da LAN, a uscire dal mondino a sinistra e arrivare al mondino a destra, entrando in ECC e al webserver. Una descrizione con dei termini molto tecnici :)

mascaos · Jul 28, 2008, 2:06 PM

Allora ora come ora con la tua NAT così impostata dice:

LAN sei nattata sulla WAN -> con IP dell'interfaccia WAN di pf
DMZ sei nattata sulla WAN -> con IP dell'interfaccia WAN di pf

ECC sei nattata sulla WAN2 -> con IP dell'interfaccia WAN2 di pf

Per cui:
ECC non può uscire da WAN perchè manca la NAT
ECC non può uscire da LAN perchè manca la NAT,
DMZ non può arrivare sulla ECC perchè manca la NAT,
DMZ non può arrivare sulla WAN2 perchè manca la NAT,

dal tuo schema non riesco a capire dove sia la WAN2 … però mi sembra di capire dallo schema che LAN possa "uscire" su ECC. Ed Anche DMZ possa "uscire" su ECC.

Qui timancherebbe 2 regole in NAT ... del tipo

Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port Description
ECC 192.168.115.0/24 * * * * * NO LAN -> ECC
ECC 192.168.110.0/24 * * * * * NO LAN -> ECC

Poi devo riuscire bene a capire cosa vuoi che esca su cosa.

Ovviamente per bloccare usi le regole del firewall ... però se non crei le regole di "passaggio" da --> a è inutile creare le regole sul firewall se i pacchi non possono arrivare ad "a".

Ciaoz.-
Matteo

Fede_Reghe · Jul 29, 2008, 7:44 AM

Con quelle NAT, sia LAN che DMZ possono accedere a ECC, e viceversa, anche se ciò non accade perchè le regole del firewall bloccano sia ECC che DMZ (ma LAN accede ovunque). WAN2 non è nattata su DMZ nè LAN perchè DMZ e LAN devono uscire su WAN, e viceversa ECC deve uscire solo su WAN2.

Il problema è quando da LAN o DMZ tento di accedere all'ip pubblico di WAN2, e ad esempio, la porta 80 è girata su un webserver in ECC. Da qualsiasi computer all'infuori di questa rete accedo tranquillamente alla porta 80 digitando l'ip appunto, mentre se da LAN provo ad accedere, guardando i log di pf del firewall, la regola di uscita da WAN -> PASS, la regola di entrata da WAN2 per andare su 192.168.120.21 restituisce PASS, ma da lì in poi non so perchè non arriva veramente a 192.168.120.21 (o altro IP)

mascaos · Jul 29, 2008, 8:28 AM

Secondo me se non fai la nat sulla WAN2 per LAN e DMZ non ti va.

Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port Description
WAN2 192.168.115.0/24 * * * * * NO LAN -> WAN2
WAN2 192.168.110.0/24 * * * * * NO DMZ -> WAN2

In ogni caso non è la nat che decide da che interfaccia esci ma le regole del firewall (il dgw) e le impostazioni nelle sigole interfaccie (sempre il dgw). La NAT gli dice solo "quando" esci da qui ti "trasformi" in questo "IP" di queste "interfaccia".

Ciaoz.-
Matteo

Fede_Reghe · Jul 30, 2008, 6:55 AM

Provato a inserirle, ma ancora non accedo all'ip pubblico di WAN2

mascaos · Jul 30, 2008, 3:58 PM

Per cui se ho afferrato il problema in modo corretto se su da un PC della LAN (poniamo 192.168.115.200) provi a raggiungere il servizio WEB del Server su WAN2 (ponimo ip 10.0.0.2) non vedi nulla. Corretto ? Credo di si.

Domanda 1) Ho visto che per fare il port ref. hai usato degli Alias tipo "Sviluppo" "Gpsonly" e simili. Hai gia provato ad usare l'ip corretto (che immagino sia qualcosa del tipo 192.168.120.???) se ho capito giusto?

Prova 1) hai provato a creare un VIP 10.0.0.10 al posto di usare l'ip di pf ?

Ora come ora non mi viene in mente altro … senti prova a cercarmi in msn info@mascomputer.net così ne parliamo in "tempo reale" :|

Ciaoz.-
Matteo