Intressant port-forward-problem pfSense

Trädvy Permalänk
Medlem
Registrerad
Sep 2004

Intressant port-forward-problem pfSense

Hej,

Jag har nyligen testat köra pfSense för mitt hemmanätverk och har nu stött på ett mycket märkligt problem. På en av mina virtuella maskiner kör dels jag Plex Media Server och en CS:GO-server. För att komma åt plex utfrån har jag i pfSense web-gui öppnat port 32400 för maskinen i fråga, som fungerar alldeles utmärkt, både i praktiken och enligt http://www.canyouseeme.org/. Eftersom jag nu framgångsrikt öppnat denna port och CS:GO-servern är på samma maskin, kopierade jag helt enkelt regeln i brandväggen och ändrade den till portarna som behövs för att servern ska bli åtkomlig utifrån. Det som förbryllar mig är att porten inte är öppen. Det går varken att komma åt servern utifrån eller att se att den är öppen via canyouseeme. Flera gånger har jag tagit bort reglerna och gjort om dem till punkt och pricka efter instruktionen på https://doc.pfsense.org/index.php/How_can_I_forward_ports_wit...

Resultatet blir alltid samma. 32400 öppnas men inget av CS:GO-serverns portar (51840, 27005, 27020, 27015). Jag kör 2.3.2-RELEASE-p1 (amd64). Har startat om pfSense och maskinen utan någon framgång... Någon som varit med om detta?

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010

Har du ingen brandvägg i din virtuella maskin? Vad "binder" CS:GO till för IP adresser? Spelar du lokalt på din CS:go server? Vad säger netstat -l ? Vad har du för ISP?

Det är nog inget märkligt problem alls, bara något som inte är confat rätt

Trädvy Permalänk
Medlem
Plats
Karlskrona
Registrerad
Jul 2008

Har du en privat IP från din ISP eller en publik?

Wiiiiiiiiiiii

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Apr 2007

Hur är det med två och udp? Har du forwardat portarna för båda protokollen? Tror nämligen att cs använder sig av både udp och tcp

"Att betala för att icke-modulärt och klaga på det är korkat. Som att köpa en opel och klaga på att du inte fick en mercedes..."

Trädvy Permalänk
Medlem
Plats
Töreboda
Registrerad
Aug 2009

Ta en screenshot på dina regler under NAT och rules och lägg upp så blir det lättare att hitta problemet för oss.

Trädvy Permalänk
Medlem
Registrerad
Sep 2004
Skrivet av maltenizer:

Ta en screenshot på dina regler under NAT och rules och lägg upp så blir det lättare att hitta problemet för oss.

Hoppas detta hjälper..
https://gyazo.com/86e54256b73358b7c42bcb0f1f115825

https://gyazo.com/b71ae207e309bee7f33c839aaf7e3ad0

Trädvy Permalänk
Medlem
Registrerad
Sep 2004
Skrivet av studiox_swe:

Har du ingen brandvägg i din virtuella maskin? Vad "binder" CS:GO till för IP adresser? Spelar du lokalt på din CS:go server? Vad säger netstat -l ? Vad har du för ISP?

Det är nog inget märkligt problem alls, bara något som inte är confat rätt

Jag har testat att stänga av brandväggen. Och det märkliga är ju PLEX-porten fungerade att öppna på denna maskin, även med brandväggen på, medan CS:GO-porten inte går att öppna... Vad som binder maskinen är ju att maskinen kör servermjukvaran som är konfigurerad att lyssna mot en viss port (som jag testat att byta ut utan någon framgång). Jag kör för övrigt Bahnhof och vet inte exakt vad det är jag borde göra med netstat -l. Testade det i en eleverad CMD utan några resultat.

Trädvy Permalänk
Medlem
Plats
Västerås
Registrerad
Jun 2002

Vilket OS kör du på den virtuella maskinen?

Define R5, Intel Core i7 5820k, Gigabyte GTX 980ti, 96Gb RAM, diverse SSD total 2,5TB

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2011

Måste du inte öppna alla portar för cs:go(51840, 27005, 27020, 27015)?

CPU: I7 4770k Noctua DH-14 MOBO: Maximus VI Hero GPU: Nvidia 980 RAM: 16 GB Corsair RAM 1600 MHz SSD: Corsair force GT 120 GB, OC Agility 3 120 GB HDD: WD 2TB Chassi: R4 PSU: Corsair AX860 Ljud: Asus Xonar D2X Hörlurar: AKG K 240 MK II Microfon: Modmic 4 Mus: Logitech G500s Matta: Steelseries QcK Mini Skärmar: en BenQ 22' och en Samsung 19'. V.v. citera mig för att få svar.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Okt 2009

Hej Hej,
Det här har högst troligt med din VMs egna brandvägg att göra.
Logiken i att det fungerar för PLEX men inte CS ligger i att Plex Installerar sig, vilket gör att den har krokar in i Windows som CS servern inte har, vilket leder till att du själv måste administrera en del.

Använd CMD som admin;
netsh advfirewall firewall add rule name="CSGP_27005_TCP" dir=in action=allow protocol=TCP localport=27005
netsh advfirewall firewall add rule name="CSGP_27005_UDP" dir=in action=allow protocol=UDP localport=27005

--Kalle
Citera gärna så att jag hittar tillbaka.

Trädvy Permalänk
Medlem
Plats
Töreboda
Registrerad
Aug 2009

Troligtvis är det som man skrivit att OS:ets brandvägg blockerar CS:GO.

Du måste också öppna alla portarna för CS:GO.
Enklast är att skapa ett alias för CS:GO's alla portar och sedan göra portforward på aliaset.

Alias skapas under Firewall->Aliases

Trädvy Permalänk
Medlem
Plats
Västra Götaland
Registrerad
Jun 2013

Börja med att stänga av brandväggen och se om problemet löser sig.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Aug 2009

Har aldrig kört pfsense men i ER-L brandvägg utvärderas reglerna uppifrån och ner och är det samma i pfsense bör du flytta dina regler högst upp.

Corsair Carbide 330R | Corsair RM650X | MSI Z87-G45 GAMING | i7-4770K | Kingston 16GB DDR3-1600 | Asus GTX980-4GD5 | Samsung 850 Evo 1TB | Hitachi Travelstar 2.5" 1TB | Logitech G810 | Logitech G402 | Audio Technica ATH-M50 | BenQ BL2411PT IPS

Trädvy Permalänk
Medlem
Plats
Västerås
Registrerad
Jun 2002
Skrivet av Stefanp67:

Har aldrig kört pfsense men i ER-L brandvägg utvärderas reglerna uppifrån och ner och är det samma i pfsense bör du flytta dina regler högst upp.

Inte i det här fallet eftersom de blockerande reglerna är där som default och blockerar privata nät som kommer från WAN (vilket man bör göra normalt). De påverkar inte de två andra reglerna annat än om någon försöker komma in från WAN med en privat IP.

Skickades från m.sweclockers.com

Define R5, Intel Core i7 5820k, Gigabyte GTX 980ti, 96Gb RAM, diverse SSD total 2,5TB

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010
Skrivet av Stefanp67:

Har aldrig kört pfsense men i ER-L brandvägg utvärderas reglerna uppifrån och ner och är det samma i pfsense bör du flytta dina regler högst upp.

Varför då?

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010
Skrivet av Xerial:

Jag har testat att stänga av brandväggen. Och det märkliga är ju PLEX-porten fungerade att öppna på denna maskin, även med brandväggen på, medan CS:GO-porten inte går att öppna...

Det är inte så konstigt, det behövs göras undantag i din brandvägg för att släppa igenom trafik, PLEX gör säkert detta. Dock om du stänger av brandväggen (vilken profil stängde du av??) så borde det fungera

Skrivet av Xerial:

Vad som binder maskinen är ju att maskinen kör servermjukvaran som är konfigurerad att lyssna mot en viss port (som jag testat att byta ut utan någon framgång).

och vet inte exakt vad det är jag borde göra med netstat -l. Testade det i en eleverad CMD utan några resultat.

Förlåt jag utgick från att du körde CS:GO och Plex på Linux. "bind" är alltså vilken IP adress som CS:GO lyssnar på. Om det bara är "localhost" så kommer det aldrig att fungera.

Trädvy Permalänk
Medlem
Registrerad
Sep 2004

@Erniaa: Jag provade detta och att stänga av brandväggen helt utan något resultat.

https://gyazo.com/2144fc2eeeb17f1ee15ff925c2c01073
https://gyazo.com/fe9e71c185b81930b43223ff3d854a79

Och PLEX fungerar fortfarande. Jag har Bahnhof om det spelar någon roll. Ska jag behöva öppna upp i brandväggen på host-maskinen som den virtuella maskinen står på?

Trädvy Permalänk
Medlem
Registrerad
Sep 2004
Skrivet av studiox_swe:

Det är inte så konstigt, det behövs göras undantag i din brandvägg för att släppa igenom trafik, PLEX gör säkert detta. Dock om du stänger av brandväggen (vilken profil stängde du av??) så borde det fungera

Förlåt jag utgick från att du körde CS:GO och Plex på Linux. "bind" är alltså vilken IP adress som CS:GO lyssnar på. Om det bara är "localhost" så kommer det aldrig att fungera.

Stängde av både publik och privat.

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Sep 2004
Skrivet av sebbe605:

Har du en privat IP från din ISP eller en publik?

Publik ISP.

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Jul 2005

Har du gjort ett alias med alla dessa portar? För det bör funka, samt det låter jäkligt underligt att de inte funkar när du stänger av brandväggen. Vad kör du pfsense på för hypervisor? Esxi? Finns det någon annan brandvägg som kan blocka?

https://steamcommunity.com/app/730/discussions/0/352222186195...

CPU: Intel 2600k @ Stock | CPU-Kyl: Schyte Infinity | GPU: Nvidia GTX680 2GB @ 1,2GHz | RAM: Corsair XMS3 @ 1600MHz 4x4GB | MB: Asus P8P67 Deluxe | Chassi: Define R3 | SSD: Samsung 840 512GB | PSU: Corsair HX 750W

Trädvy Permalänk
Medlem
Registrerad
Sep 2004
Skrivet av Linkus:

Har du gjort ett alias med alla dessa portar? För det bör funka, samt det låter jäkligt underligt att de inte funkar när du stänger av brandväggen. Vad kör du pfsense på för hypervisor? Esxi? Finns det någon annan brandvägg som kan blocka?

https://steamcommunity.com/app/730/discussions/0/352222186195...

Nej jag har öppnat dem en och en men vad jag kan se är alias ett sätt att gruppöppna portar så att säga så det bör inte spela någon roll. Plexporten är öppnad utan aliad och fungerar.

Jag kör Hyper-V på Windows10. Funderar på att köra in ubuntu på en VM och testa om det blir skillnad då. Bökigt men vad gör man inte?

Skickades från m.sweclockers.com

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010
Skrivet av Xerial:

Jag kör Hyper-V på Windows10.

Hur vet du att din CS:GO server fungerar, precis som jag frågade tidigare? Har den samma switch i Hyper-V? Du kör inte NAT igen?

Trädvy Permalänk
Medlem
Plats
Vid datorn
Registrerad
Apr 2002

Har du gjort en Nat i pfsense eller bara öppnat portar?
(Måste göra en Nat )

Trädvy Permalänk
Medlem
Plats
Örnsköldsvik
Registrerad
Jul 2001

Ta gärna en bild på dina nat->port forward och wan-regler, det skulle göra det lättare

Trädvy Permalänk
Medlem
Registrerad
Sep 2004
Skrivet av studiox_swe:

Hur vet du att din CS:GO server fungerar, precis som jag frågade tidigare? Har den samma switch i Hyper-V? Du kör inte NAT igen?

Den fungerar i den bemärkelsen att jag kan hoppa in på den från min gaming PC på samma LAN men fungerar inte i den bemärkelsen att jag inte kommer åt den utifrån på grund av problemet som föranledde den här tråden. Men det tror jag du förstår redan.

När du frågar om den har samma switch i Hyper-V, samma som vilken då? Host-maskinen? Skalet i Hyper-V använder host-maskinens två NIC, ett för WAN och ett för LAN.

Hoppas bilden nedan kan hjälpa att förstå vilken switch som är på vilken.

https://gyazo.com/aef2ad2de8fc10533c7f42e86f029b85

Skrivet av BABOON_ASS:

Har du gjort en Nat i pfsense eller bara öppnat portar?
(Måste göra en Nat )

Här har du mina öppnade portar. Det är det enda jag öppnat (PLEX fungerar som tidigare nämnt och körs på samma maskin, alltså 10.20.30.10).

https://gyazo.com/c9033f505ad44ac1db18ae85a9f63b18

Skrivet av liket:

Ta gärna en bild på dina nat->port forward och wan-regler, det skulle göra det lättare

Se ovan länk och nedan:

https://gyazo.com/e3a77940781cfe34c5e638de8d668428

Hoppas jag fotat rätt.

Trädvy Permalänk
Medlem
Plats
Örnsköldsvik
Registrerad
Jul 2001

Du har nog två problem i ett.
Du har valt * som "Dest. Address" när du skapade regeln.
Tittar du under Firewall->Rules->Wan som du har nu så antar jag att du inte har några genomsläppsregler där för portarna du lagt till?

Om du väljer "Wan Address" när du skapar regeln så skapas filterreglerna under Firewall-Rules->Wan automatiskt om du inte väljer bort automatskapandet (som är default)
Ta bort reglerna, gör om dem igen med "Wan Address" som Dest. Address så tror jag det fungerar.

Trädvy Permalänk
Medlem
Registrerad
Feb 2016

En liten detalj: på utgående NAT skärmdumpen ser jag att alla reglerna är inaktiverade. Har du kört så hela tiden?
(Edit: såg nu att du kör bara Auto-reglerna, mina ser likadana ut, inga problem där)
Dock bör det funka med * som Destination för utgående NAT.

Här hade jag tänkt skriva ett skämt om UDP,
men var osäker på om det skulle nå fram.

Trädvy Permalänk
Medlem
Plats
Örnsköldsvik
Registrerad
Jul 2001

Det kanske fungera att sätta * istället för den verkliga destinationen men problemet nu är ju troligtvis att han inte har några pass-filterregler för det på sitt WAN-interface (vilket ordnar sig om skapar om nat-pf-reglerna som jag skrev)

Dessutom så känns det ju good practice att ha tydliga regler istället för att pf:a alla ipn, och det kan ju vara bra att göra det riktigt om man vill lära sig något.
Kopplar han upp sig med VPN på samma box så har han halvkonfigurerat en pf genom det interfacet med, vilket rimligtvis inte är önskvärt.

Trädvy Permalänk
Medlem
Registrerad
Sep 2004
Skrivet av liket:

Du har nog två problem i ett.
Du har valt * som "Dest. Address" när du skapade regeln.
Tittar du under Firewall->Rules->Wan som du har nu så antar jag att du inte har några genomsläppsregler där för portarna du lagt till?

Om du väljer "Wan Address" när du skapar regeln så skapas filterreglerna under Firewall-Rules->Wan automatiskt om du inte väljer bort automatskapandet (som är default)
Ta bort reglerna, gör om dem igen med "Wan Address" som Dest. Address så tror jag det fungerar.

Tack för tipsen! Nu ser det ut så här och fungerar fortfarande inte (dock so fungerar PLEX även efter att jag satte dit Wan Address som destination

https://gyazo.com/567779b8232967779f11ae5890bf89b0

Trädvy Permalänk
Medlem
Plats
Örnsköldsvik
Registrerad
Jul 2001

@Xerial: Posta gärna en bild på firewall->rules->wan med