Intressant port-forward-problem pfSense

Permalänk
Medlem

Intressant port-forward-problem pfSense

Hej,

Jag har nyligen testat köra pfSense för mitt hemmanätverk och har nu stött på ett mycket märkligt problem. På en av mina virtuella maskiner kör dels jag Plex Media Server och en CS:GO-server. För att komma åt plex utfrån har jag i pfSense web-gui öppnat port 32400 för maskinen i fråga, som fungerar alldeles utmärkt, både i praktiken och enligt http://www.canyouseeme.org/. Eftersom jag nu framgångsrikt öppnat denna port och CS:GO-servern är på samma maskin, kopierade jag helt enkelt regeln i brandväggen och ändrade den till portarna som behövs för att servern ska bli åtkomlig utifrån. Det som förbryllar mig är att porten inte är öppen. Det går varken att komma åt servern utifrån eller att se att den är öppen via canyouseeme. Flera gånger har jag tagit bort reglerna och gjort om dem till punkt och pricka efter instruktionen på https://doc.pfsense.org/index.php/How_can_I_forward_ports_wit...

Resultatet blir alltid samma. 32400 öppnas men inget av CS:GO-serverns portar (51840, 27005, 27020, 27015). Jag kör 2.3.2-RELEASE-p1 (amd64). Har startat om pfSense och maskinen utan någon framgång... Någon som varit med om detta?

Permalänk
Inaktiv

Har du ingen brandvägg i din virtuella maskin? Vad "binder" CS:GO till för IP adresser? Spelar du lokalt på din CS:go server? Vad säger netstat -l ? Vad har du för ISP?

Det är nog inget märkligt problem alls, bara något som inte är confat rätt

Permalänk
Medlem

Har du en privat IP från din ISP eller en publik?

Visa signatur

Wiiiiiiiiiiii

Permalänk

Hur är det med två och udp? Har du forwardat portarna för båda protokollen? Tror nämligen att cs använder sig av både udp och tcp

Visa signatur

"Att betala för att icke-modulärt och klaga på det är korkat. Som att köpa en opel och klaga på att du inte fick en mercedes..."

Permalänk

Ta en screenshot på dina regler under NAT och rules och lägg upp så blir det lättare att hitta problemet för oss.

Permalänk
Medlem
Skrivet av maltenizer:

Ta en screenshot på dina regler under NAT och rules och lägg upp så blir det lättare att hitta problemet för oss.

Hoppas detta hjälper..
https://gyazo.com/86e54256b73358b7c42bcb0f1f115825

https://gyazo.com/b71ae207e309bee7f33c839aaf7e3ad0

Permalänk
Medlem
Skrivet av studiox_swe:

Har du ingen brandvägg i din virtuella maskin? Vad "binder" CS:GO till för IP adresser? Spelar du lokalt på din CS:go server? Vad säger netstat -l ? Vad har du för ISP?

Det är nog inget märkligt problem alls, bara något som inte är confat rätt

Jag har testat att stänga av brandväggen. Och det märkliga är ju PLEX-porten fungerade att öppna på denna maskin, även med brandväggen på, medan CS:GO-porten inte går att öppna... Vad som binder maskinen är ju att maskinen kör servermjukvaran som är konfigurerad att lyssna mot en viss port (som jag testat att byta ut utan någon framgång). Jag kör för övrigt Bahnhof och vet inte exakt vad det är jag borde göra med netstat -l. Testade det i en eleverad CMD utan några resultat.

Permalänk
Medlem

Vilket OS kör du på den virtuella maskinen?

Visa signatur

"The GauntMan knows he will win"

Permalänk
Medlem

Måste du inte öppna alla portar för cs:go(51840, 27005, 27020, 27015)?

Visa signatur

CPU: Ryzen 9 3900x Noctua NH-D14 MOBO: TUF Gaming X570-PLUS GPU: GTX 980 RAM: 32 GB 3200 MHz Chassi: R4 PSU: Corsair AX860 Hörlurar: SteelSeries 840 Mus: Logitech G502 Lightspeed V.v. nämn eller citera mig för att få svar.

Permalänk
Medlem

Hej Hej,
Det här har högst troligt med din VMs egna brandvägg att göra.
Logiken i att det fungerar för PLEX men inte CS ligger i att Plex Installerar sig, vilket gör att den har krokar in i Windows som CS servern inte har, vilket leder till att du själv måste administrera en del.

Använd CMD som admin;
netsh advfirewall firewall add rule name="CSGP_27005_TCP" dir=in action=allow protocol=TCP localport=27005
netsh advfirewall firewall add rule name="CSGP_27005_UDP" dir=in action=allow protocol=UDP localport=27005

Permalänk

Troligtvis är det som man skrivit att OS:ets brandvägg blockerar CS:GO.

Du måste också öppna alla portarna för CS:GO.
Enklast är att skapa ett alias för CS:GO's alla portar och sedan göra portforward på aliaset.

Alias skapas under Firewall->Aliases

Permalänk
Medlem

Börja med att stänga av brandväggen och se om problemet löser sig.

Skickades från m.sweclockers.com

Permalänk

Har aldrig kört pfsense men i ER-L brandvägg utvärderas reglerna uppifrån och ner och är det samma i pfsense bör du flytta dina regler högst upp.

Visa signatur

Bärbar: Dell G7 17-7790, i7-9750H, RTX2060, 144Hz ips
Mobil: Samsung Galaxy A71
Mediaspelare: Apple TV 4K 32GB

Permalänk
Medlem
Skrivet av Stefanp67:

Har aldrig kört pfsense men i ER-L brandvägg utvärderas reglerna uppifrån och ner och är det samma i pfsense bör du flytta dina regler högst upp.

Inte i det här fallet eftersom de blockerande reglerna är där som default och blockerar privata nät som kommer från WAN (vilket man bör göra normalt). De påverkar inte de två andra reglerna annat än om någon försöker komma in från WAN med en privat IP.

Skickades från m.sweclockers.com

Visa signatur

"The GauntMan knows he will win"

Permalänk
Inaktiv
Skrivet av Stefanp67:

Har aldrig kört pfsense men i ER-L brandvägg utvärderas reglerna uppifrån och ner och är det samma i pfsense bör du flytta dina regler högst upp.

Varför då?

Permalänk
Inaktiv
Skrivet av Xerial:

Jag har testat att stänga av brandväggen. Och det märkliga är ju PLEX-porten fungerade att öppna på denna maskin, även med brandväggen på, medan CS:GO-porten inte går att öppna...

Det är inte så konstigt, det behövs göras undantag i din brandvägg för att släppa igenom trafik, PLEX gör säkert detta. Dock om du stänger av brandväggen (vilken profil stängde du av??) så borde det fungera

Skrivet av Xerial:

Vad som binder maskinen är ju att maskinen kör servermjukvaran som är konfigurerad att lyssna mot en viss port (som jag testat att byta ut utan någon framgång).

och vet inte exakt vad det är jag borde göra med netstat -l. Testade det i en eleverad CMD utan några resultat.

Förlåt jag utgick från att du körde CS:GO och Plex på Linux. "bind" är alltså vilken IP adress som CS:GO lyssnar på. Om det bara är "localhost" så kommer det aldrig att fungera.

Permalänk
Medlem

@Erniaa: Jag provade detta och att stänga av brandväggen helt utan något resultat.

https://gyazo.com/2144fc2eeeb17f1ee15ff925c2c01073
https://gyazo.com/fe9e71c185b81930b43223ff3d854a79

Och PLEX fungerar fortfarande. Jag har Bahnhof om det spelar någon roll. Ska jag behöva öppna upp i brandväggen på host-maskinen som den virtuella maskinen står på?

Permalänk
Medlem
Skrivet av studiox_swe:

Det är inte så konstigt, det behövs göras undantag i din brandvägg för att släppa igenom trafik, PLEX gör säkert detta. Dock om du stänger av brandväggen (vilken profil stängde du av??) så borde det fungera

Förlåt jag utgick från att du körde CS:GO och Plex på Linux. "bind" är alltså vilken IP adress som CS:GO lyssnar på. Om det bara är "localhost" så kommer det aldrig att fungera.

Stängde av både publik och privat.

Skickades från m.sweclockers.com

Permalänk
Medlem
Skrivet av sebbe605:

Har du en privat IP från din ISP eller en publik?

Publik ISP.

Permalänk
Medlem

Har du gjort ett alias med alla dessa portar? För det bör funka, samt det låter jäkligt underligt att de inte funkar när du stänger av brandväggen. Vad kör du pfsense på för hypervisor? Esxi? Finns det någon annan brandvägg som kan blocka?

https://steamcommunity.com/app/730/discussions/0/352222186195...

Visa signatur

CPU: Ryzen 3700X | CPU-Kyl: Alpenföhn Black Ridge + NF-A9x14 | GPU: ASUS Nvidia 1080 Ti 11GB | RAM: Corsair LPX 3000MHz 2x16GB | MB: MSI B450I | Chassi: Sliger SM560 | SSD: Samsung 970 EVO 1TB | PSU: Corsair SF 600W

Permalänk
Medlem
Skrivet av Linkus:

Har du gjort ett alias med alla dessa portar? För det bör funka, samt det låter jäkligt underligt att de inte funkar när du stänger av brandväggen. Vad kör du pfsense på för hypervisor? Esxi? Finns det någon annan brandvägg som kan blocka?

https://steamcommunity.com/app/730/discussions/0/352222186195...

Nej jag har öppnat dem en och en men vad jag kan se är alias ett sätt att gruppöppna portar så att säga så det bör inte spela någon roll. Plexporten är öppnad utan aliad och fungerar.

Jag kör Hyper-V på Windows10. Funderar på att köra in ubuntu på en VM och testa om det blir skillnad då. Bökigt men vad gör man inte?

Skickades från m.sweclockers.com

Permalänk
Inaktiv
Skrivet av Xerial:

Jag kör Hyper-V på Windows10.

Hur vet du att din CS:GO server fungerar, precis som jag frågade tidigare? Har den samma switch i Hyper-V? Du kör inte NAT igen?

Permalänk

Har du gjort en Nat i pfsense eller bara öppnat portar?
(Måste göra en Nat )

Permalänk
Medlem

Ta gärna en bild på dina nat->port forward och wan-regler, det skulle göra det lättare

Permalänk
Medlem
Skrivet av studiox_swe:

Hur vet du att din CS:GO server fungerar, precis som jag frågade tidigare? Har den samma switch i Hyper-V? Du kör inte NAT igen?

Den fungerar i den bemärkelsen att jag kan hoppa in på den från min gaming PC på samma LAN men fungerar inte i den bemärkelsen att jag inte kommer åt den utifrån på grund av problemet som föranledde den här tråden. Men det tror jag du förstår redan.

När du frågar om den har samma switch i Hyper-V, samma som vilken då? Host-maskinen? Skalet i Hyper-V använder host-maskinens två NIC, ett för WAN och ett för LAN.

Hoppas bilden nedan kan hjälpa att förstå vilken switch som är på vilken.

https://gyazo.com/aef2ad2de8fc10533c7f42e86f029b85

Skrivet av BABOON_ASS:

Har du gjort en Nat i pfsense eller bara öppnat portar?
(Måste göra en Nat )

Här har du mina öppnade portar. Det är det enda jag öppnat (PLEX fungerar som tidigare nämnt och körs på samma maskin, alltså 10.20.30.10).

https://gyazo.com/c9033f505ad44ac1db18ae85a9f63b18

Skrivet av liket:

Ta gärna en bild på dina nat->port forward och wan-regler, det skulle göra det lättare

Se ovan länk och nedan:

https://gyazo.com/e3a77940781cfe34c5e638de8d668428

Hoppas jag fotat rätt.

Permalänk
Medlem

Du har nog två problem i ett.
Du har valt * som "Dest. Address" när du skapade regeln.
Tittar du under Firewall->Rules->Wan som du har nu så antar jag att du inte har några genomsläppsregler där för portarna du lagt till?

Om du väljer "Wan Address" när du skapar regeln så skapas filterreglerna under Firewall-Rules->Wan automatiskt om du inte väljer bort automatskapandet (som är default)
Ta bort reglerna, gör om dem igen med "Wan Address" som Dest. Address så tror jag det fungerar.

Permalänk
Medlem

En liten detalj: på utgående NAT skärmdumpen ser jag att alla reglerna är inaktiverade. Har du kört så hela tiden?
(Edit: såg nu att du kör bara Auto-reglerna, mina ser likadana ut, inga problem där)
Dock bör det funka med * som Destination för utgående NAT.

Visa signatur

Här hade jag tänkt skriva ett skämt om UDP,
men var osäker på om det skulle nå fram.

Permalänk
Medlem

Det kanske fungera att sätta * istället för den verkliga destinationen men problemet nu är ju troligtvis att han inte har några pass-filterregler för det på sitt WAN-interface (vilket ordnar sig om skapar om nat-pf-reglerna som jag skrev)

Dessutom så känns det ju good practice att ha tydliga regler istället för att pf:a alla ipn, och det kan ju vara bra att göra det riktigt om man vill lära sig något.
Kopplar han upp sig med VPN på samma box så har han halvkonfigurerat en pf genom det interfacet med, vilket rimligtvis inte är önskvärt.

Permalänk
Medlem
Skrivet av liket:

Du har nog två problem i ett.
Du har valt * som "Dest. Address" när du skapade regeln.
Tittar du under Firewall->Rules->Wan som du har nu så antar jag att du inte har några genomsläppsregler där för portarna du lagt till?

Om du väljer "Wan Address" när du skapar regeln så skapas filterreglerna under Firewall-Rules->Wan automatiskt om du inte väljer bort automatskapandet (som är default)
Ta bort reglerna, gör om dem igen med "Wan Address" som Dest. Address så tror jag det fungerar.

Tack för tipsen! Nu ser det ut så här och fungerar fortfarande inte (dock so fungerar PLEX även efter att jag satte dit Wan Address som destination

https://gyazo.com/567779b8232967779f11ae5890bf89b0

Permalänk
Medlem

@Xerial: Posta gärna en bild på firewall->rules->wan med