Muchas gracias por vuestra ayuda….ya me funciona despues de realizar los cambios ue me habeis indicado.

Un saudo.

¡Hola!

Bloquear el acceso a la IP privada del router no bloquea el acceso a Internet.

Saludos,

Josep Pujadas

Hola!

Felicidades por tu trabajo.

Esto si que es un ejemplo de compartir conocimientos.

Saludos

Yo despues de valorar muchas opciones, al final me he decidido a instalar SWITCH y puntos de acceso que soporten tecnologia VLAN, son un poco mas caros, pero es lo unico que he encontrado que me garantiza que los equipos no se vean entre si.

Un saludo.

¡De nada!

:)

Hasta otra,

Josep Pujadas

Curioseando …

Como que pfSense está basado en FreeBSD y, por lo visto, el IPSEC de pfSense emplea racoon, ahí va este artículo sobre FreeBSD IPSEC: Racoon + X.509 Certificates:

http://ezine.daemonnews.org/200502/ipsec.html

Puede servir para ver cómo tiene que hacerse y si la interfase web de pfSense lo permite …

Saludos,

Josep Pujadas

Si, efectivamente tambien la cambie.

El caso es que he conseguido evitar este mensaje de error modificando a IPs fijas las configuracion del WAN y WAN2 (anteriormente en IP fija entregada por DHCP), sin embargo tampoco consigo que se establezca la conexion, ahora las rules se crean correctamente, pero no los tuneles, se muestran los mensajes de error tipicos que se suelen postear en los foros cuando se emplean túneles IPSECs en OPT1, este problema en teoria estaba resuelto en los ultimos SNAPSHOTs 1.1 y en la beta 1.2.

16:51:08 racoon: ERROR: phase1 negotiation failed due to time up. xxxxxxxxxxxxxxxxxxxxx
16:50:57 last message repeated 4 times
16:50:18 racoon: NOTIFY: the packet is retransmitted by yyyyyyyyyyyyyyyy[500].
16:50:07 racoon: INFO: received Vendor ID: ??????
16:50:07 racoon: INFO: begin Aggressive mode.
16:50:07 racoon: INFO: respond new phase 1 negotiation: zzzzzzzzzzzz[500]<=>yyyyyyyyyyy[500]

¿Alguien ha conseguido crear tuneles IPSEC en WAN y OPT1 simultaneamente para una misma subred local?

¡Hola de nuevo!

Pues caramba con el Raw IP porque "traspasa" los routers ADSL y pfSense …

En los routers tengo también filtrado tráfico. O sea que también hacen "algo" de cortafuegos.

LAN <---> pfSense <---> Router ADSL <---> Internet

Espero, por lo que veo, que sean simplemente algunos paquetes Raw IP que llegan pero que no permiten establecer conexión alguna.

Saludos,

Josep Pujadas

¡Gracias!

Ya estaba "al caso" de las listas de redes private & bogon …

Quería contrastar opiniones antes de tener que entrar las listas como "aliases".

Hasta otra,

Josep Pujadas

Finalmente funcionó con la release 1.2-BETA-1 , le dí permisos al origen - destino ….en la interface ipsec y anduvo bien...
saludos

¡Hola de nuevo!

¿Has probado con la 1.2 BETA? Es FreeBSD 6.2 (en lugar de 6.1), igual el kernel te reconoce mejor tu SCSI:

http://pfsense.loquefaltaba.com/downloads/

Tengo la 1.2 BETA funcionando desde el 25-abril sin problemas …

Saludos,

Josep Pujadas

que tal un reboot en el crontab?
crontab -e
0 0 * * * reboot
:wq!
crontab -l
esto debería reciniciar el pfsense cada medianoche..
saludos

Aquí tienes el enlace:

http://linitx.com/product_info.php?cPath=4&products_id=909

Saludos,

Josep Pujadas

quizas esto ayude:

ifconfig em0 media 10baseT/UTP mediaopt full-duplex
ifconfig em0 media 100basetX mediaopt full-duplex

Hola!

Esto es lo que sale en todos los sitios de internet, incluido en este foro :  "Supongo que para hacerlo con "shared keys" estarás basándote en http://www.uplinksecurity.de/data/pfsense-ovpn.pdf (a partir de la página 18) …" , pero esta opción la veo más insegura cuando estas buscando mayor seguridad ya que estas enviando la clave-precompartida para autentificar. (con tiempo es posible descifrarla, a no ser que canvies la clave muy a menudo ).

Por este motivo es mejor utilizar claves privadas con claves pre-compartidas, aqui si tienes seguridad!!

He llegado a pensar lo mismo que me has dicho: "Igual el configurador web de pfSense sólo está previsto para casos Servidor-Cliente ..."

Itentaré seguir con este tema haber si puedo sacar la solución, ya que OpenVPN tiene caracteristicas muy buenas que Ipsec no tiene.

http://es.wikibooks.org/wiki/OpenVPN/Marco_Te%C3%B3rico

Si encuentro la solución, lo comentaré

Gracias!!

Cuando he dicho que no se suele apagar es porque normalmente es necesario que un firewall ( ejemplo que tengas servidores web, ftp,c orreo, etc.. que los tienes en una dmz) este encendido.

Estoy de acuerdo que es importante que los dispositivos que utilices tengan un mínimo de calidad, también es cierto que a veces los fabricantes al fabricar un dispositivo no se cercioran en este tipo de problemas.

Tengo la experiencia de haberme pasado algo parecido (botonera de encendido) con hardware de fabricantes muy conocidos.

También es posible que si solo has tenido un dispositivo como el mencionado y te haya fallado la botonera puede ser cosa de leyes de murphy (pequeña broma). Tambien quiero aclarar que llevo trabando con este aparato desde hace 4 meses funcionando las 24 horas sin tener que apagarlo.

Saludos

¡Hola!

Para salir hacia afuera tienes que decir en [Firewall][Rules][LAN] que admites el tráfico hacia una de tus gateways. El ejemplo más sencillo sería:

Proto Source Port Destination Port Gateway        Description
  *      *        *        *          *  192.168.AAA.1 Admitir cualquier salida hacia el router 192.168.AAA.1 (en la red WAN)

En el caso de balanceo y/o failover, tu "pool" se convierte en el gateway. Lo tienes todo en:

http://doc.pfsense.org/index.php/Multi-Wan/Load-Balancing

Las reglas en tus WAN serían para lo que llegue de fuera. Si no tienes servicios (a dar en Internet) no te hacen falta reglas en las WAN. Si das un servicio (en Internet) tendrás que hacer un NAT hacia adentro y entonces pfSense te crea automáticamente la regla en la WAN para permitir el tráfico de tu NATeo.

Sobre el NAT hacia afuera tienes la explicación en:

http://doc.m0n0.ch/handbook/nat-outbound.html (manual de m0n0wall, de donde partió PfSense)

Y como pfSense emplea PF (Packed Filter), la explicación en el manual de PF es:

http://www.openbsd.org/faq/pf/es/nat.html

O sea que teóricamente no hace falta, pero es una forma más de "esconder" tu LAN … Yo lo prefiero así ...

También hay otras formas de montar el "tinglado". Hay quien pone los routers ADSL en modo bridge y la dirección pública de la ADSL en la WAN correspondiente. Incluso hay países donde la conexión a Internet es directa sobre la interfase WAN de pfSense. En estos casos se impone el NATeo hacia afuera ...

Saludos,

Josep Pujadas

¡Hola!

No lo he probado nunca pero …

A parte de crear las IP virtuales para tu LAN en [Firewall][Virtual IPs], ¿creaste reglas en [Firewall][Rules][LAN] pera tus "LAN virtuales"?

Por lógica, pienso que debería ser este el problema. Si es axí, te recomiendo el uso  [Firewall][Alias] para tener que escribir menos y hacer más "parametrable" tu configuración.

Veo que en [System][Advanced] está la casilla [Shared Physical Network], parece que para más seguridad, en casos como el tuyo. Pero no pienso que esto afecte a tu puesta a punto.

Ya nos dirás como te ha ido … a ver si vamos haciendo "comunidad" en castellano para pfSense ...

Saludos,

Josep Pujadas

¡Hola!

Creando colas+reglas con Traffic Shaper. Puedes empezar con el asistente, ver qué te crea y luego ir afinando.

Saludos,

Josep Pujadas

/etc/fstab