[Pfsense-pt] Problema NAT hide Outbound

Thu, 22 Sep 2016 11:51:06 -0700 

Boa tarde lista.

 

Estou com um problema em um simples NAT Hide (outbound).

 

Origem: 172.20.8.20

Destino: 52.41.xx.xx

Translate: 138.118.xx.xx

 

Trafego na Lan (vmx1)

 

[2.3.2-RELEASE][root@fw]/root: tcpdump -nnn -i vmx1 host 52.41.xx.xx and
port 22

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on vmx1, link-type EN10MB (Ethernet), capture size 65535 bytes

12:58:42.404161 IP 172.20.8.20.41276 > 52.41.xx.xx.22: Flags [S], seq
3890826344, win 29200, options [mss 1460,sackOK,TS val 21668864 ecr
0,nop,wscale 7], length 0

12:58:43.405501 IP 172.20.8.20.41276 > 52.41. xx.xx.22: Flags [S], seq
3890826344, win 29200, options [mss 1460,sackOK,TS val 21669866 ecr
0,nop,wscale 7], length 0

12:58:45.411528 IP 172.20.8.20.41276 > 52.41. xx.xx.22: Flags [S], seq
3890826344, win 29200, options [mss 1460,sackOK,TS val 21671872 ecr
0,nop,wscale 7], length 0

 

Aqui tudo normal

 

Porém na interface Wan eu vejo o pacote saindo pelo Nat (1) e vejo também
ele retornando (2). O estranho é que ele parece estar desfazendo o Nat na
interface Wan (3), sendo que deveria desfaze-lo na interface Lan (vmx1)

 

[2.3.2-RELEASE][root@fw]/root: tcpdump -nnn -i vmx0 host 52.41.xx.xx and
port 22

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on vmx0, link-type EN10MB (Ethernet), capture size 65535 bytes

1 - 12:58:42.404187 IP 138.118.xx.xx.4715 > 52.41.198.xx.xx: Flags [S], seq
3890826344, win 29200, options [mss 1460,sackOK,TS val 21668864 ecr
0,nop,wscale 7], length 0

 

2 - 12:58:42.653181 IP 52.41.xx.xx.22 > 138.118.xx.xx.4715: Flags [S.], seq
3274149550, ack 3890826345, win 26847, options [mss 1460,sackOK,TS val
455124814 ecr 21668864,nop,wscale 7], length 0

 

3 - 12:58:42.653190 IP 52.41.xx.xx.22 > 172.20.8.20.41276: Flags [S.], seq
3274149550, ack 3890826345, win 26847, options [mss 1460,sackOK,TS val
455124814 ecr 21668864,nop,wscale 7], length 0

 

A rede 172.20.8.0 não está diretamente conectada na Lan e sim atrás de uma
rota estática

 

172.20.8.20 -> gw da rede 172.20.8.0 -> fw pfsense -> internet

 

A estrutura de roteamento está ok, validei com um port forward de fora para
dentro e também tudo certo, o problema ta nesse nat hide outbound mesmo.

 

Alguém já passou por isso?

 

Obrigado.

_______________________________________________
Pfsense-pt mailing list
Pfsense-pt@lists.pfsense.org
http://lists.pfsense.org/mailman/listinfo/pfsense-pt

Responder a