BFW Firewall & Router

[gmtandi]

Boa tarde!

Tenho BFW 3.0.252, e estou tendo esse problema des de que instalei o BFW no 3.0.239, já relatei o bug, e nada foi feito ainda, gostaria de saber se mais alguem encontrou o problema e como contornou...

É o seguinte: tenho 2 links ADSL, Os modens estão em BRIDGE, logo quem faz a conexão é o BFW. Até ai tudo bem. Os dois links estão com balanceamento de carga. Ok. este não é o problema....

O que acontece é que por exemplo, o link1 tem o seguinte ip: 72.232.1.43 e o link2 tem o IP 72.232.1.44. Além disso, tenho também a minha rede interna: 192.168.0.1-255, A partir da minha rede interna não consigo pingar, nao consigo acessar nada que esteja sendo redirecionado para uma maquina interna nem nada.... já fiz testes com uma versão antiga do BFW3 (3.0.22x) e nessa versão funcionava perfeitinho...

Alguem tem ideia de como fazer para que quando seja mandado algum pacote partindo da rede interna com destino a um dos IPs que eu recebo via PPPoE(eles são estaticos), eu quero que eles sejam recebidos pelo router, o que não está acontecendo....

Fazendo testes partindo do BFW ele responde, deve ser por ser um loopback né :p mas a rede interna nao vai nem com reza brava

Valeu ;)

Andi

[brunovescovi]

Boa tarde, pessoal.

A partir da minha rede interna não consigo pingar, nao consigo acessar nada que esteja sendo redirecionado para uma maquina interna nem nada....

Não entendi.

Alguem tem ideia de como fazer para que quando seja mandado algum pacote partindo da rede interna com destino a um dos IPs que eu recebo via PPPoE(eles são estaticos), eu quero que eles sejam recebidos pelo router, o que não está acontecendo....

pppoe estático? Não entendi.

Desculpe, deve ser a leseira do Natal.
Se puder explicar melhor (mais detalhes, exemplos, suas configurações, etc), eu fico agradecido.

Um abraço.

[gmtandi]

A partir da minha rede interna não consigo pingar, nao consigo acessar nada que esteja sendo redirecionado para uma maquina interna nem nada....

Não entendi.

Vou utilizar endereços de IP de exemplo...

Então... tenho 3 placas de rede, eth0, eth1, eth2. Até ai entendeu? :p
Digamos que o modem que fornece a conexão PPPoE do link1 esteja na eth0 e o modem que fornece a conexão do link2 esteja na eth1, com isso, me sobra a eth2 para minha rede interna, ou melhor.... minha rede local(LAN)

A eth0 não necessita de endereço IP nenhum, apenas caso for alterar alguma configuração no modem, o que não vem ao caso. O mesmo para a eth1.
A eth0 e a eth1 são utilizadas pelo utilitario de conexão PPPoE para criar as conexões logicas ppp0 e ppp1, a ppp0 e a ppp1 estão com balanceamento de carga ativado, e o peso é 1:1

Até ai tudo bem?

Okay, agora vamos a minha rede interna(LAN - eth2), Ela tem o endereço 192.168.1.254, mascara 255.255.255.0, e todas as estações conectadas nela utilizam endereços ips nesta faixa. As estações recebem endereço ip via DHCP.
Entre as estaçoes tenho um servidor web e um servidor de nomes, os quais eu consigo acessar sem problemas se eu estiver em QUALQUER LUGAR NO MUNDO utilizando os meus endereços IP que as conexões ppp0 e ppp1 possuem, Com a unica excessão de que dentro da minha LAN eu nao consigo de nenhuma forma acessar exatamente NADA relacionado aos meus endereços da ppp0 e ppp1. Como já tinha falado anteriormente, em versões antigas do BFW eu conseguia sem problemas resolver os dominios e acessar o servidor web se eu estivesse na minha LAN, mas de um tempo pra cá(mais de 6 meses já) eu não consigo de jeito nenhum acessar os meus 2 endereços da ppp0 e da ppp1 se eu tiver de dentro da LAN, eu só consigo se estiver conectado em algum outro lugar no mundo, mas da minha lan, sem jeito....

Isso me encomoda muito, pois tenho dominios que estão com seus DNS's aqui dentro, e como eu não consigo acessar meus proprios endereços externos se estiver aqui, eu não consigo resolver meus proprios dominios se eu estiver conectado na minha propria rede, isso pode parecer engraçado, mas é a realidade :S para contornar esse problema, só no meio da gambiarra mesmo(/etc/hosts de cada estação), mas a gambi nem sempre é a melhor alternativa. eu citei o exemplo do DNS e do Webserver, mas tenho alguns outros serviços que tem NAT de outras portas para outros serviços da minha LAN,

Alguem tem ideia de como fazer para que quando seja mandado algum pacote partindo da rede interna com destino a um dos IPs que eu recebo via PPPoE(eles são estaticos), eu quero que eles sejam recebidos pelo router, o que não está acontecendo....

pppoe estático? Não entendi.

Com pppoe estático quiz dizer que o meu provedor sempre me fornece o mesmo endereço IP, no caso, meu endereço ip nas duas conexões é estatico, ele não muda cada vez que eu me conecto :p


Resumindo:
- Tenho 2 links externos (duas conexões ADSL em bridge).
- Tenho uma interface para a LAN
- Eu deveria ser capaz de ao minimo pingar o meu próprio endereço IP externo.

Teste de exemplo:
www.whatismyip.com -> este site vai te mostrar o teu endereço externo. Tente pingar ele estando a traz de um NAT. Aqui no meu caso não é possivel. Eu consigo pingar todo mundo, menos esses endereços malditos. Se eu estiver em qualquer outro lugar do mundo eu consigo pingar esses endereços desgraçados... numa versao antiga do BFW era possivel...

Valeu,
andi

[brunovescovi]

Boa tarde, pessoal.

Então... tenho 3 placas de rede, eth0, eth1, eth2. Até ai entendeu? :p

Entendi.

Digamos que o modem que fornece a conexão PPPoE do link1 esteja na eth0 e o modem que fornece a conexão do link2 esteja na eth1, com isso, me sobra a eth2 para minha rede interna, ou melhor.... minha rede local(LAN)

A eth0 não necessita de endereço IP nenhum, apenas caso for alterar alguma configuração no modem, o que não vem ao caso. O mesmo para a eth1.
A eth0 e a eth1 são utilizadas pelo utilitario de conexão PPPoE para criar as conexões logicas ppp0 e ppp1, a ppp0 e a ppp1 estão com balanceamento de carga ativado, e o peso é 1:1

Entendi.

Com pppoe estático quiz dizer que o meu provedor sempre me fornece o mesmo endereço IP, no caso, meu endereço ip nas duas conexões é estatico, ele não muda cada vez que eu me conecto :p

Entendi. Curiosidade: Isso é contratado ou coincidência? Como os seus IPs de internet são aparentemente da mema range, verifique se eles têm o mesmo gateway.

Entre as estaçoes tenho um servidor web e um servidor de nomes

eu citei o exemplo do DNS e do Webserver, mas tenho alguns outros serviços que tem NAT de outras portas para outros serviços da minha LAN

Essas informações que você deu acima mudam completamente o cenário do seu primeiro post.
É necessário que você faça um teste no BFW sem esses serviços e outros servidores para saber se estão influenciando no resultado. E você precisa contar quais serviços estão no BFW e quais você tem em outros servidores. Diga também como está a sua topologia (tudo no switch? Algum servidor em cascata com o BFW? IPs dos outros servidores? Redirecionamento de portas entre os servidores? etc)

Um abraço.

[gmtandi]

Então.... Sim, é o mesmo provedor, então consequentemente o gateway é o mesmo, O curioso é que eu consigo pingar o Gateway(ISP) mas não consigo pingar meus IPs...
meus IP's de internet não são no mesmo range :/ são 201.11.W.X e 201.25.Y.Z

Porta 80 TCP: 192.168.1.1
porta 53 UDP: 192.168.1.2
porta 27015 UDP: 192.168.1.3

Tudo direto no switch :p

mas de qualquer forma, com os serviços ativos ou não, o minimo que deveria acontecer caso eu pingasse meus ip's 201.11.W.X ou 201.25.Y.Z era receber uma resposta, concorda? Se eu tiver na minha LAN eu nao consigo pingar estes endereços, o unico lugar da minha lan que pinga ele, é o BFW, fora da minha lan, qualquer pessoa em qualquer lugar do mundo de boa...

Não to usando endereços reais, nem divulgando o meu endereço aqui pois recebi recomendações a algum tempo a traz aqui neste forum mesmo, mas a situação é essa...

[brunovescovi]

Boa tarde, pessoal.

Não to usando endereços reais, nem divulgando o meu endereço aqui pois recebi recomendações a algum tempo a traz aqui neste forum mesmo, mas a situação é essa...

Concordo, mas.....

o link1 tem o seguinte ip: 72.232.1.43 e o link2 tem o IP 72.232.1.44

meus IP's de internet não são no mesmo range :/ são 201.11.W.X e 201.25.Y.Z

... isso confunde a gente. Eu gastei tempo à toa num cenário irreal, num domingo à tarde. Tem mais alguma coisa que você tem que esclarecer? Se tiver essa é a hora.

o minimo que deveria acontecer caso eu pingasse meus ip's 201.11.W.X ou 201.25.Y.Z era receber uma resposta, concorda?

Você está recebendo que tipo de retorno quando executa o ping? Timeout? Erro número tal? Ou fica travado o terminal?

Um abraço.

[gmtandi]

certo =\

ip route do bfw ->

default proto static
nexthop via 172.31.255.1 dev ppp0 weight 1
nexthop via 172.31.255.2 dev ppp1 weight 1
172.31.255.1 dev ppp0 proto kernel scope link src 201.11.W.X
172.31.255.2 dev ppp1 proto kernel scope link src 201.25.Y.Z
192.168.1.0/24 dev eth2 proto kernel scope link src 192.168.1.254

--- edit ---
queria saber pq o BFW coloca esses ips 172.32.255.1 e 172.32.255.2 como ipparam nas opções do PPP :S nao faz sentido isso, ou faz? tem relação com o smartroute ou com o loadbalance?

--- edit --

user@Servidor:$ ping 201.11.W.X
PING 201.11.W.X (201.11.W.X) 56(84) bytes of data.
^C
--- 201.11.W.X ping statistics ---
6 packets transmitted, 0 received, 100% packet loss, time 5038ms

[brazilfw]/# ping 201.11.W.X
PING 201.11.W.X (201.11.W.X) 56(84) bytes of data.
64 bytes from 201.11.W.X: icmp_req=1 ttl=64 time=0.097 ms
^C
--- 201.11.W.X ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.097/0.097/0.097/0.000 ms


---- edit ---
C:\Users\eAndi>ping 201.11.W.X

Pinging 201.11.W.X with 32 bytes of data:
Request timed out.

Ping statistics for 201.11.W.X:
Packets: Sent = 1, Received = 0, Lost = 1 (100% loss),
Control-C
^C

[gmtandi]

Encontrei uma solução gambiarrada agora.... deixar o modem routeando, e fazer uma DMZ, vamos ver se isso vai ser o sulficiente, e nao vai me causar muitos problemas ;D

O ideal seria deixar o BFW se conectar na PPP, até mesmo pra nao precisar abrir uma DMZ né =\ mas okay...

so quero acabar com esse problema de uma vez por todas

Obrigado,
andi

[GuiCPD]

Andi, voce lembra de mim!
Esse problema encontramos juntos aquela vez na versão 3.24x

Na versão 3.235 funcionava normalmente.

Até agora também não vi resolução para este problema. O que eu já sei é que quando se tem dois ou mais links de internet, o BFW não cria a regra ip route nas tabelas liberando as redes locais para acessar a interface externa dele. Geralmente apenas uma interface externa fica sem a regra.

Para resolver este problema adicionei as regras abaixo no meu rc.route:

Código: Selecionar todos

ip route add table internet1 192.168.0.0/16 dev eth0 scope link
ip route add table internet1 172.16.0.0/12 dev eth0 scope link
ip route add table internet1 10.0.0.0/8 dev eth0 scope link

Onde internet1 é a minha conexão lógica que não tinha as regras , e a rede interna está dentro de uma das respectivas faixas de rede.

[gmtandi]

Opa GuiCPD,
Claro que lembro

Então... no meu caso eu ficava sem rota para as duas interfaces externas(tanto ppp0 quanto ppp1), tava a muito tempo sem solução até que me veio a cabeça de deixar o modem routeando, e liberar DMZ pro brazilfw.... até que funcionou, mas me surgiram outros problemas como ter que liberar a porta 53 UDP manualmente, e Em alguns momentos ele para o carregamento na metade. por exemplo: tenho um site que tem conteudo em FLASH que nao carrega(local)... :S ta muito estranho, to quase desistindo da ideia de fazer balanceamento de carga aqui e pensando em deixar um FreeBSD pra gerenciar a rede =B

O BFW como nao conhece os endereços externos, deixa a saida randomica, entao em algumas veses que tento acessar meu endereço IP externo, ele sai pelo "internet1" para atingir o "internet2", e em alguns momentos ele ele vai direto pelo internet2 e volta, o que causa um atraso de 1 ms até 40ms dependendo da rota que ele pegar hahah :S isso poderia ser contornado caso tivesse com PPP como antigamente :p

o balanceamento do BFW foi um dos melhores que encontrei até hoje(entre as soluções FREE)

mas é isso ;)

valeu Gui, qualquer coisa tamos ae,
abcs
andi

[GuiCPD]

Opa GuiCPD,
Claro que lembro

Então... no meu caso eu ficava sem rota para as duas interfaces externas(tanto ppp0 quanto ppp1), tava a muito tempo sem solução até que me veio a cabeça de deixar o modem routeando, e liberar DMZ pro brazilfw.... até que funcionou, mas me surgiram outros problemas como ter que liberar a porta 53 UDP manualmente, e Em alguns momentos ele para o carregamento na metade. por exemplo: tenho um site que tem conteudo em FLASH que nao carrega(local)... :S ta muito estranho, to quase desistindo da ideia de fazer balanceamento de carga aqui e pensando em deixar um FreeBSD pra gerenciar a rede =B

O BFW como nao conhece os endereços externos, deixa a saida randomica, entao em algumas veses que tento acessar meu endereço IP externo, ele sai pelo "internet1" para atingir o "internet2", e em alguns momentos ele ele vai direto pelo internet2 e volta, o que causa um atraso de 1 ms até 40ms dependendo da rota que ele pegar hahah :S isso poderia ser contornado caso tivesse com PPP como antigamente :p

o balanceamento do BFW foi um dos melhores que encontrei até hoje(entre as soluções FREE)

mas é isso ;)

valeu Gui, qualquer coisa tamos ae,
abcs
andi

Então mas e ae, voce nao disse se colocou as regras acima e tentou fazer funcionar!?
Esses sintomas aconteciam comigo também, mas apenas em 1 das conexões. E olha que tenho 03 diferentes: DHCP, ESTATICO e PPPoE. Apenas a do link ESTATICO não cria as rotas pela rede interna.
O comando acima resolveu meus problemas. Este problema já vem se arrastando a um bom tempo e sempre usei estas regras para contorná-lo.

Abraço.

[digitalman]

usei o seguinte comando: ip route add table internet 172.16.0.0/24 dev eth0 scope link

Mais não rolou!

[gmtandi]

Então mas e ae, voce nao disse se colocou as regras acima e tentou fazer funcionar!?
Esses sintomas aconteciam comigo também, mas apenas em 1 das conexões. E olha que tenho 03 diferentes: DHCP, ESTATICO e PPPoE. Apenas a do link ESTATICO não cria as rotas pela rede interna.
O comando acima resolveu meus problemas. Este problema já vem se arrastando a um bom tempo e sempre usei estas regras para contorná-lo.

Abraço.

Então... Tinha 2 PPPoE, acontecia mesmo se tivesse somente uma PPPoE, assim que deixei os modens routeando e troquei os PPPoE pra estatico, ai ficou legalzinho.. =D

minha rota default agora tah passando por cada um dos modens diretamente, nao tem mais aquela gambiarra que tinha antes com as PPPoE
Antes

Código: Selecionar todos

default proto static
nexthop via 172.31.255.1 dev ppp0 weight 1
nexthop via 172.31.255.2 dev ppp1 weight 1

agora

Código: Selecionar todos

default  proto static
        nexthop via 192.168.30.254  dev eth1 weight 1
        nexthop via 192.168.31.254  dev eth2 weight 1

posso ateh fazer alguns testes para ver se mecher nas rotas como vc falou resolve o problema, mas nao sei se vai valer a pena os testes... lembro que eu tinhe perdido mais de 1 mes em cima disso fussando nas rotas e iptables, vou ter que mecher nas configurações dos modems pra ficar em brige denovo :\ mas okay... mais tarde posto resultados aqui

abraços,
andi

[GuiCPD]

Faz o seguinte, pra finalizar ai contigo, poste a sua versão BFW e a saida dos comandos:

Código: Selecionar todos

ip route
ip rule
ip route show table internet1 (altere para os nomes que utiliza ai no seu BFW)
ip route show table internet2 (altere para os nomes que utiliza ai no seu BFW)

Assim a gente mata a charada ok!