Problema loopback multi-wan



  • La mia rete è composta da due interfacce collegate a reti WAN (WAN0 e WAN1)
    Le reti wan sono impostate in modo che la WAN0 fornisca connettività a LAN e DMZ (OPT1), mentre WAN1 fornisce connettività a ECC (OPT2)

    Gli ip sono:
    192.168.115.1 LAN
    192.168.110.1 DMZ
    192.168.120.1 ECC

    Su DMZ c'è un webserver, dal quale è possibile accedere da LAN, DMZ, ECC e dall'esterno passando ovviamente da WAN0. Su ECC c'è un altro webserver e si accede tranquillamente dalla rete LAN,DMZ, ECC con ip locale, mentre se si utilizza l'ip esterno si accede solamente da ECC e dall'esterno.
    Mi chiarisco meglio: se da qualsiasi subnet digito 192.168.120.x vedo tranquillamente il webserver su ECC, mentre se digito in LAN o in DMZ l'ip pubblico (o relativo dns) non riesco a connettermi! Invece digitando l'ip pubblico da ECC o da una rete esterna il tutto funziona correttamente!

    E' un problema di loopback, perchè non riesce a fare LAN/DMZ -> WAN0 -> internet -> WAN1 -> ECC, mentre LAN/DMZ -> WAN0 -> WAN0 -> LAN/DMZ o ECC -> WAN1 -> WAN1 -> ECC funzionano correttamente.

    La NAT reflection è abilitata… :(



  • Puoi postare lo stato della NAT … Port Forward + 1:1 + Outbound. Così come hai messo giù il post sono quasi certo che è un problema di NAT. All'99%. Però se non ho la più pallida idea di come l'hai configurata in questo momento mi risulta difficile darti indicazioni.

    Ciazo.-

    Matteo

    PS: fai una stampa delle schermate e nascondi gli ip pubblici per far prima ... mi serve solo capire come è messa giù. :D Magari anche le chermate delle interfacce :D.



  • Ok, comunque ho notato una cosa strana: se attivo il log dei pacchetti che entrano da WAN1, vengono visualizzati correttamente quelli che arrivano dall'ip di WAN0, ma poi non arrivano al webserver… (Posto screenshot anche di quello :P)

    1:1 non ho impostato nulla...
















  • Ti inoltro anche uno schema che avevo già precedentemente fatto, magari ti chiarisce un po' di più le idee ;-)

    NGI = WAN0
    TIN = WAN1

    Non far caso alla rete Extern 10.0.0.x e alla rete interna 2600 che non centrano con pfsense ;-P

    Come vedi il mondino della WAN0 comunica solo con LAN e DMZ (e VPN), mentre il WAN1 con ECC. Devo solo riuscire da LAN, a uscire dal mondino a sinistra e arrivare al mondino a destra, entrando in ECC e al webserver. Una descrizione con dei termini molto tecnici :)




  • Allora ora come ora con la tua NAT così impostata dice:

    LAN sei nattata sulla WAN -> con IP dell'interfaccia WAN di pf
    DMZ sei nattata sulla WAN -> con IP dell'interfaccia WAN di pf

    ECC sei nattata sulla WAN2 -> con IP dell'interfaccia WAN2 di pf

    Per cui:
    ECC non può uscire da WAN perchè manca la NAT
    ECC non può uscire da LAN perchè manca la NAT,
    DMZ non può arrivare sulla ECC perchè manca la NAT,
    DMZ non può arrivare sulla WAN2 perchè manca la NAT,

    dal tuo schema non riesco a capire dove sia la WAN2 … però mi sembra di capire dallo schema che LAN possa "uscire" su ECC. Ed Anche DMZ possa "uscire" su ECC.

    Qui timancherebbe 2 regole in NAT ... del tipo

    Interface  Source  Source Port  Destination  Destination Port  NAT Address  NAT Port  Static Port  Description
      ECC   192.168.115.0/24   *                     *                         *                     *                       *            NO                LAN -> ECC
      ECC   192.168.110.0/24   *                     *                         *                     *                       *            NO                LAN -> ECC

    Poi devo riuscire bene a capire cosa vuoi che esca su cosa.

    Ovviamente per bloccare usi le regole del firewall ... però se non crei le regole di "passaggio" da --> a è inutile creare le regole sul firewall se i pacchi non possono arrivare ad "a".

    Ciaoz.-
    Matteo



  • Con quelle NAT, sia LAN che DMZ possono accedere a ECC, e viceversa, anche se ciò non accade perchè le regole del firewall bloccano sia ECC che DMZ (ma LAN accede ovunque). WAN2 non è nattata su DMZ nè LAN perchè DMZ e LAN devono uscire su WAN, e viceversa ECC deve uscire solo su WAN2.

    Il problema è quando da LAN o DMZ tento di accedere all'ip pubblico di WAN2, e ad esempio, la porta 80 è girata su un webserver in ECC. Da qualsiasi computer all'infuori di questa rete accedo tranquillamente alla porta 80 digitando l'ip appunto, mentre se da LAN provo ad accedere, guardando i log di pf del firewall, la regola di uscita da WAN -> PASS, la regola di entrata da WAN2 per andare su 192.168.120.21 restituisce PASS, ma da lì in poi non so perchè non arriva veramente a 192.168.120.21 (o altro IP)



  • Secondo me se non fai la nat sulla WAN2 per LAN e DMZ non ti va.

    Interface    Source    Source Port    Destination    Destination Port    NAT Address    NAT Port    Static Port    Description
      WAN2  192.168.115.0/24  *                    *                        *                    *                      *            NO    LAN -> WAN2
      WAN2  192.168.110.0/24  *                    *                        *                    *                      *            NO    DMZ -> WAN2

    In ogni caso non è la nat che decide da che interfaccia esci ma le regole del firewall (il dgw) e le impostazioni nelle sigole interfaccie (sempre il dgw). La NAT gli dice solo "quando" esci da qui ti "trasformi" in questo "IP" di queste "interfaccia".

    Ciaoz.-
    Matteo



  • Provato a inserirle, ma ancora non accedo all'ip pubblico di WAN2



  • Per cui se ho afferrato il problema in modo corretto se su da un PC della LAN (poniamo 192.168.115.200) provi a raggiungere il servizio WEB del Server su WAN2 (ponimo ip 10.0.0.2) non vedi nulla. Corretto ? Credo di si.

    Domanda 1) Ho visto che per fare il port ref. hai usato degli Alias tipo "Sviluppo" "Gpsonly" e simili. Hai gia provato ad usare l'ip corretto (che immagino sia qualcosa del tipo 192.168.120.???) se ho capito giusto?

    Prova 1) hai provato a creare un VIP 10.0.0.10 al posto di usare l'ip di pf ?

    Ora come ora non mi viene in mente altro … senti prova a cercarmi in msn info@mascomputer.net così ne parliamo in "tempo reale" :|

    Ciaoz.-
    Matteo


Log in to reply