¿Acceder a pfsense mediante IP pública?
-
La idea es acceder al pfsense desde fuera de la red LAN mediante la IP pública brindada por el ISP el cual entrega unas IPs públicas. Ya configuré el gateway y la máscara en la WAN pero no sé el paso a seguir. Soy bastante nuevo usando pfsense, conozco solo los conceptos básico, he buscado cómo hacer lo que enuncio pero no logro dar con la solución; agradezco cualquier indicación que me puedan brindar.
Feliz día. -
Revisa la Documentación Oficial
https://docs.netgate.com/pfsense/en/latest/recipes/remote-firewall-administration.html
-
@ptt, me disculparás la ignorancia debida al poco conocimiento. Hago lo siguiente siguiendo las indicaciones de la documentación:
*Firewall > Rules, WAN Tab
Action: pass
Interface: WAN
Protocol: TCP
Source: The IP address or subnet of the client, an alias containing management hosts/networks, or (as a last resort only) Any
Destination: WAN Address
Destination port range: HTTPS (Or the custom port)
Description: Allow remote management from anywhere (Dangerous!)*
Todo parece en orden, aplico los cambios pero en una red distinta ingreso la IP pública en el buscador seguida del puerto (200.35.4*.**:443) y no obtengo respuesta del pfsense. Debe haber algo que hace falta ¿qué más puedo intenar?
-
Muestra (captura de pantalla) la regla que creaste
-
@ptt, adjunto las capturas
-
Es la única regla que tienes en la WAN ?
La WAN tiene la IP Pública (200....) ?
Por cierto, HTTPS, utiliza el puerto 443, por lo que no necesitas indicarlo
https://200.x.y.z
-
@contrell21, también están las reglas que vienen predeterminadas en la WAN, no sé si incidan en algo.
La WAN tiene la IP pública 200.35.xx.xx (adjunto capturas)
-
@contrell21 Si las reglas del pfSense para la WAN, las seguiste al pie de la letra, te pregunto... ¿Hay un router antes del pfsense o es un modem que luego se conecta al pfsense? Si es un simple modem, ahí debes hablar con el ISP para que te abra el o los puertos necesarios para poder ver el pfSense desde fuera.
En caso que sea un router lo que está antes del pfSense, en este debes abrir el puerto a la IP de la WAN del pfSense.
Por favor explica tu esquema de red de lo que hay antes del pfSense para obtener internet.
-
@brujonic, no hay router o modem antes del pfsense, recibo el canal de fibra directamente del proveedor y configuré una de las IP (públicas) en el firewall, luego en una segunda tarjeta de red conecté un switch para la red LAN
-
@contrell21 said in ¿Acceder a pfsense mediante IP pública?:
@brujonic, no hay router o modem antes del pfsense, recibo el canal de fibra directamente del proveedor y configuré una de las IP (públicas) en el firewall, luego en una segunda tarjeta de red conecté un switch para la red LAN
Lee completo y habla con tu ISP para verificar que los puertos que necesitas están abiertos.
-
@brujonic, no estoy bien seguro si me di a entender bien. El internet que estoy usando no es de uso domiciliario por lo que el proveedor de internet solo entrega un equipo que hace el cambio de fibra a cable de red, pero este no tiene ningún tipo de programación, solo es el puente; no hay router (debe haberlo del lado del proveedor pero este entrega el ancho de banda limpio y dedicado) ni modem que bloquee los puertos (443 en este caso). ¿Qué otra verificación se puede hacer?
-
Realiza una "captura de paquetes" en la WAN para determinar/ver si el tráfico llega....
-
@ptt ¿Podrías ilustrarme cómo lo hago?
-
https://docs.netgate.com/pfsense/en/latest/diagnostics/packetcapture/webgui.html
-
@contrell21 said in ¿Acceder a pfsense mediante IP pública?:
@brujonic, no estoy bien seguro si me di a entender bien. El internet que estoy usando no es de uso domiciliario por lo que el proveedor de internet solo entrega un equipo que hace el cambio de fibra a cable de red, pero este no tiene ningún tipo de programación, solo es el puente; no hay router (debe haberlo del lado del proveedor pero este entrega el ancho de banda limpio y dedicado) ni modem que bloquee los puertos (443 en este caso). ¿Qué otra verificación se puede hacer?
Si te comprendí bien. El caso es que contratas inernet, el ISP te da el servicio. Sus equipos y la forma de entrega del internet, lo configuran ellos y por lo tanto, ellos pueden tener puertos cerrados a menos que solicites que te los abran en la central donde tienen esos equipos. O sea, NO en tu casa, sino en sus dispositivos centrales.
No es la primera vez que veo suceden situaciones similares y es porque el ISP tiene los puertos cerrados donde he tenido que llamar para que ellos los abran y todo funcione. Por eso apunta los puertos que necesitas que te abran TCP, UDP o ambos. Yo, para quitarme esos dolores de cabeza, les solicito que me dejen abierto TODOS los puertos a la IP que me asignan y que YO me encargo de administrarlos.
-
@ptt, tiene mucho sentido lo que enuncias; procederé a hacer esa verificación con el ISP y les comento cómo sale todo.
-
@contrell21 , I recommend you disable the 2 rules that are at the beginning as default and let me know.
