Como configurar pfsense con multiwan?
-
¡Hola!
Tendrías que explicarnos con más detalles qué pretendes hacer. MultiWan es posible, pero tienes que decidir qué va por una WAN y por la otra.
En el caso de la navegación web se puede definir un pool y hacer balanceo de carga, con failover.
En http://www.bellera.cat/josep/pfsense/indice.html tienes un caso con 3 LAN y 3 WAN …
Saludos,
Josep Pujadas
-
Gracias por contestarme, eres muy amable, fijate que tengo 2 wan que son inalambricos, usan la señal de celulares y son como modem inalambricos, pero fallan a veces, y la velocidad no es la mejor, a veces 128 y otras 300, es bastante inestable, la salida es RJ45, si me preguntas porque uso esa tecnologia, es porque es en un lugar donde no hay mas que eso y de alli internet satelital, pero la inversion es muy elevada. Entonces decidi hacer 2 lan una para cada modem de estos, pero no era lo ideal, alli fue donde empece la investigacion y encontre el pfsense, que me parecio justo lo que necesito, es un firewall y cuando una wan se cae que entre la otra en accion, ademas que desearia bloquear a los usuarios que usen p2p, porque me bajan mucho el rendimiento del internet, lo unico que quiero es web y correo. En resumen, tengo una Lan que quiero que naveguen y bajen correos, tengo 2 wan y quiero que cuando una señal se caiga entre en accion la otra, si es mucho la carga que compartan entre las dos, se pueden con pfsense?
gracias nuevamente
-
¡Hola de nuevo!
El balanceo lo tienes que hacer definiendo una Gateway nueva que será un "pool" creado en [Services][Load Balancer]. El "pool" será pues del tipo Gateway y estará formado por tus dos WAN Gateway. Fíjate que [Load Balancing] incluye la opción [Failover], tal como se explica en la pantalla.
Es importante que compruebes, por ejemplo a través de [Diagnostics][Ping] que tus direcciones IP públicas contestan a ping. Esta es la forma en que pfSense determina si tus conexiones al exterior están "vivas". Si ello no fuese así tendrás que monitorear dos IP en Internet que respondan a ping y ponerles una ruta en [System][Static routes] que te garantice que vas por una y otra de las WAN.
Para hacer que tus usuarios sólo puedan navegar y bajarse correo tendrás que poner reglas en tu lado LAN que autorizen el tráfico hacia TCP 53, 80, 443, 21, 25, 110, 995 y UDP 123 (DNS, HTTP, HTTPS, FTP, SMTP, POP3, POP3 SSL y NTP). La puerta de enlace para estas reglas tendrá que ser tu "pool", con el nombre que le hayas dado.
Te aconsejo que también autorizes del 8000 al 8100, que son puertos normalmente alternativos al 80 (HTTP).
Un problema que se te presentará son los servicios basados en HTTP (puerto 80) como MSN, hotmail, … Yo lo resolví poniendo todos los rangos de IPs de Microsoft dentro de un álias y creando una regla que deniege el tráfico hacia éllas. Un poco drástico pero seguro. La otra forma de hacerlo sería mediante filtrado de contenidos (servidor proxy en modo transparente, por ejemplo squid).
Piensa en mantener activado FTP Proxy Helper en el lado LAN de pfSense, si deseas emplear FTP. Esto es así porque si limitas los puertos de salida con poner el 21 no basta para poder hacer FTP.
Nota: A no ser que haya cambiado, el balanceo está pensado para la navegación. Por ejemplo, es imposible balancear una conexión FTP, ya que emplea dos conexiones simultáneas (una de control y otra de datos).
¡Suerte!
Josep Pujadas
-
Gracias por tu ayuda, ya me funciono a base de prueba tras prueba, solo me quedo un problemita, y es que cuando alguien manda un mail, lo manda con 8 horas adelantada, eso no seria problema, pero uno de los webmail que alguien usa, cuando se logea le dice que su tiempo expiro, como que tiene ya demasiado tiempo su mail abierto y no lo deja hacer nada. Como puedo cambiar la hora y fecha al pfsense. Ya apague la pc y le puse la hora correcta pero parece ser que al ingresar al internet esta definido como españa o algo asi, puesto que se adelanta la hora, yo estoy en Guatemala, Centroamerica.
Gracias y saludos a todos.
-
¡Hola!
Lo de la hora es un quebradero de cabeza para muchos. Dudo que sea pfSense el que te esté provocando el problema. Lo digo porque la hora de un e-mail depende del ordenador que lo emite y del servidor de correo que lo procesa. El cortafuegos no interviene para nada.
Hay que cerciorarse de que las máquinas estén en la hora correcta y, sobretodo, en la zona horaria correcta.
En Windows hay que pichar en el reloj, ajustar la hora y la zona horaria. Si es WinXP hya también la pestaña [Hora de Internet] para sincronizar la hora con un servidor externo. Como servidores externos recomiendo los "pools" de http://www.pool.ntp.org. Para que la sincronización horaria funcione desde la LAN hay que permitir el puerto 123 por UDP (http://es.wikipedia.org/wiki/Network_Time_Protocol).
Si administras tu servidor de correo tendrás que asegurarte que tenga la hora y la zona horaria correctas. Te sugiero que emplees un servicio NTP para que mantenga la hora correcta a partir de un servidor de hora externo (http://www.pool.ntp.org). Si no lo administras tu y a pesar de tener las estaciones correctamente configuradas sigues teniendo problemas con el correo, habla con el administrador del servidor de correo.
Para terminar, si quieres que tu pfSense tenga la hora correcta tienes que ir a [System] [General Setup] y rellenar correctamente los apartados
-
Pues fijate que en system-general setup, tengo time zone como america/guatemala, que es mi ubicacion y en Ntp time server, esta pool.ntp.org, estuve haciendo pruebas a pc le adelante 8 horas la hora y funciono todo perfecto, pero cuando ponga la hora actual, el correo webmail dice que el tiempo a expirado y me saca, no tengo servidor de correo, es una empresa independiente, www.itelgua.com y ellos dicen que no tienen ningun problema con eso, abri el puerto 123 pero nada. y una ultima cosa, fijate que te respondo cada dia porque en la lan que tengo en la empresa donde esta el pfsense, no entra este foro, solamente en mi casa, habra algun puerto especial para este tipo de foros, ya que no entiendo porque no entra.
muchas gracias por tus respuestas, estare pendiente. no se donde poder subir el archivo xml para que le eches un revison, mi mail es byron.paredes arroba gmail.com, sin espacios. gracias
-
Hola!
Como dice Josep, el problema que tienes seguro que no tiene nada que ver con pfSense. Que una persona no pueda iniciar sesión en un servidor webmail porque su sesión ha expirado es por culpa de este mismo servidor. A veces proveedores de internet no quieren reconocer algunos problemas que tienen.
Por cierto tu proveedor de correo es de tu zona o está en otro pais con diferencia horaria? Porque puede ser que el servidor de correo le afecte la hora.
"una ultima cosa, fijate que te respondo cada dia porque en la lan que tengo en la empresa donde esta el pfsense, no entra este foro, solamente en mi casa, habra algun puerto especial para este tipo de foros, ya que no entiendo porque no entra."
Esto que comentas, un foro no tiene un puerto especial. Es el de toda la vida el 80 ( como norma general ) o sea http. Si no puedes entrar es porque el firewall lo bloquea o que el proveedor de servicios de acceso a Internet bloquea la ip del foro. También es porque puedas tener un antivirus con firewall que no te permita algunas operaciones.
Saludos
-
El webmail esta en el pais, y cuando me conecto desde otro lugar no sucede eso, solo en esa lan en la que tengo pfsense, ya puse puerto 123 y 119, pero no logro que se conecten. Ya me estoy desesperando. gracias por sus respuestas.
-
:-[ ¡Ostras, se perdió mi post de esta mañana!
Vamos al grano …
¿Esto le pasa a todos los usuarios/máquinas de tu LAN? Prueba a limpiar las cookies y la cache del navegador de un usuario, sin estar en el WebMail. Cierra el navegador y vuelve a abrirlo. Entra de nuevo en el WebMail ...
¿Hay algún proxy por en medio? Control+Refrescar o Mayúsculas+Refrescar (no recuerdo qué combinación corresponde a IExplore y a Firefox) para forzar el proxy ...
Si quieres, puedes enviarme tu xml a josep_en_bellera_punto_cat
Igualmente, si quieres y puedes, una cuenta temporal en el WebMail para ver si está empleando algún puerto "raro" para alguna de sus operaciones.
Saludos,
Josep Pujadas
-
Hola!
Como comenta Josep. Tienes un proxy por el medio o tu provedor tiene un proxy?
Ejecuta este enlace para saber si pasas por un proxy. http://www.internautas.org/w-testproxy.phpSi pasas por un proxy, prueba de bajarte este pequeño programa (PasaKche) para que cuando hagas una consulta a tu webmail o pàginas web, obligue al proxy a refrescar datos.
http://www.internautas.org/html/1110.html
Puede ser que tu proveedor de acceso a internet tenga un proxy y este haciendo cosas extrañas.
Pruebalo. De esta manera podemos descartar cosas.
Saludos
-
No, pues fijense que nada de eso, no hay proxy ni nada por el estilo, solamente el pfsense, ahora estoy usando outlook express mientras resuelvo en el webmail, ya que esta empresa tiene popd, no se a donde poder mandarte el xlm mi direccion es byron.paredes arroba gmail.com, gracias a todos
-
Hola!
Has probado de conectar el PC directamante a Internet para ver si funciona bien el webmail?
Si te funciona bien, lo que puedes hacer tambien es volver a instalar pfSense y configurarlo por partes, de esta manera si en un momento de la configuración te vuelve a pasar lo mismo podremos acotar el problema y encontrar la solución.
Saludos
-
Pues fijate que antes de poner el pfsense corria bien, pero mi problema era el siguiente, tenia que tener dos cableados diferentes para cada router que tengo, ademas de un tercero para la red, ahora con el pfsense solo tengo 1 cableado, tengo el balanceo de carga, ademas de bloqueo de p2p, les recuerdo que soy novato en el pfsense asi que posiblemente algo malo tengo en mi configuracion la cual adjunto para que echen una manita, el archivo es xml pero le cambie la extencion a txt para poder subirla, asi que hay que renombrar.
Lo que desearia es tener balanceo de carga, bloqueo de p2p, que puedan navegar sin problemas y correo pop y webmail.
muchas gracias de antemano.
[pfense 18-10-2007.txt](/public/imported_attachments/1/pfense 18-10-2007.txt)
-
Se me olvidaba comentarles que este foro no entra en esa red, y asi hay algunas paginas que estan como bloqueadas no se porque, y la direccion de monitoreo la copie de un manual que encontre en la red, ya que no poseo direccion ip publica, pero eso a funcionado sin problemas, quito manualmente una cable y sigo navegando y viceversa, saludos
-
Hum …
Le dado un vistazo a tu config.xml y no veo nada raro ... Desgraciadamente en mi máquina de pruebas sólo tengo LAN/WAN y no puedo cargarlo para verlo.
Sin embargo se me ocurre que habiendo balanceo de carga yo pondría una regla con destino hacia el servidor de correo que pasara obligatoriamente por uno de los routers, en lugar de hacerlo por el balanceo.
Evidentemente eso tiene la pega de no tener failover pero algo me dice que el problema puede ser el balanceo. Haz la prueba y dinos cómo ha ido.
Saludos,
Josep Pujadas
-
Hola!
Yo tambien le dado un vistazo al xml y no he visto de primeras nada anormal. Yo he utilizado una configuración parecida y no he tenido ningún problema parecido. Igualmente probaré el xml a ver si me sucede lo mismo y poder encontrar el problema.
Sin embargo se me ocurre que habiendo balanceo de carga yo pondría una regla con destino hacia el servidor de correo que pasara obligatoriamente por uno de los routers, en lugar de hacerlo por el balanceo.
Evidentemente eso tiene la pega de no tener failover pero algo me dice que el problema puede ser el balanceo
Esto funcinaria. Lo que es estraño es que partes de este foro no puedas acceder. Actualmente tengo una configuración con dos wan haciendo balanceo y puedo acceder a este foro sin problemas. Lo que no he probado es acceder a un webmail externo des de la Lan.
Igualmente si tengo un momento utiliazar tu configuración y la probaré´.
Saludos.
-
Buenos dias a todos, figurense que mi desesperacion llego a traerme el cpu con el pfsense y 1 de los routers inalambricos a mi casa, lo instale y funciona todo perfecto hasta ahora, incluso ahora estoy pasando por el pfsense, lo que confirma la teoria de que es el proveedor de internet que bloquea esta pagina y me saca del webmail, lo unico raro es que lo de webmail solo pasa cuando pasa por el pfsense, como que hubiera alguna incompatibilidad con algun software de ellos o algo asi, aca en mi casa tengo otro proveedor de internet y aparte puse uno de los routers inalambricos que tengo en la empresa, pero todo funciona normal. Ya he llamado a los del servicio inalambrico pero dicen que ellos no tienen ningun problema que el problema es mi firewall, pero ahora confirmo que no, es mas el inalambrico no agarra en mi casa, estoy saliendo unicamente por la LAN2, como tiene el load balancer, no hay problema, gracias a todos, seguire llamando al proveedor a ver que pasa.
De todos modos si pudieran echarle un chequeadita a mi configuracion para ver si no hay algo malo, se los agradeceria, gracias amigos.
bye.Sigo haciendo pruebas, creo que el error es en los DNS el que trae los routers es este: 216.70.224.17, pero cuando lo configuro de la forma manual en las pc clientes, (con XP, lo hago asi porque no tengo dhcp activo para mejor seguirdad) no entra ninguna pagina, cuando pongo el 216.230.147.90 que es de otro proveedor (el de mi casa) si entra normal, y ese es el que he estado usando (en la empresa), pero puede ser que alguno de los dos tenga diferente horario, hay algun dns publico que pueda usar para no crear conflicto, o como puedo testear que el primer dns este funcionando correctamente???, ya que no entra cuando dejo solo ese, ahora tengo como primario el 216,70,224,17 y secundarios el otro.
-
¡Hola!
De DNS público puedes emplear el que quieras. El problema es que, para ir bien, tienes que emplear uno de cercano a tí (simplemente por tiempo de respuesta).
Los DNS sólo hacen un traducción de nombre máquina a IP, por lo que no influyen en el horario de tus correos.
Dices que no has puesto el DHCP en las estaciones Windows por seguridad. Precisamente escogí pfSense porque puede hacer DHCP estático. Me explico, activas el DHCP y luego capturas las MAC en la tabla de direcciones asignadas automáticamente para indicar una IP que va a ser siempre la misma. Es más, una vez tienes todas las MAC puedes "cerrar" tu LAN a nuevas máquinas. O sea que más seguro que el DHCP que lleva pfSense …
Te recomiendo que lo pruebes, porque a partir de entonces tu puerta de enlace y tu DNS es pfSense quien los pone. Esto da una gran flexibilidad (y seguridad ...):
http://www.bellera.cat/josep/pfsense/dhcp_cs.html
Llegado a ese punto, en la configuración general de pfSense pones los DNS públicos que te interesen ...
http://www.bellera.cat/josep/pfsense/config_base_cs.html#system_general_setup
La pantalla sólo admite dos, pero yo tengo metidos cuatro ¿Cómo? Guardas tu XML, lo editas metiendo los DNS de más que te interesen y cargas el fichero modificado. Si tu red es algo grande conviene que el primero sea un DNS local en tu red. Además, pfSense tiene su propio DNS pero es pequeñito, pero rápido (si empleas DHCP va a ser el primero para tus estaciones):
http://www.bellera.cat/josep/pfsense/dns_cs.html
Es conveniente tener unos cuantos DNS definidos en pfSense por si hay fallos ...
Pero lo que explicas parece más bien una mala resolución por parte del DNS que una no-resolución. En todo caso no estás obligado a emplear los DNS de tu proveedor. Puedes meter los que quieras. Y los que llevan puestos tus routers sirven para tus routers. No influyen en los que pongas en tus equipos, a no ser que éstos se configurasen por DHCP en tus routers (es por ello que en los routers hay unos DNS puestos).
Si quieres testear la resolución DNS desde tus máquinas Windows puedes emplear el comando nslookup nombre_máquina
Te dirá qué servidor DNS te está dando la respuesta, si la respuesta es autoritativa (es decir, si es ese DNS quien tiene la "propiedad" del nombre), el nombre con que está registrada la máquina (puede que el nombre_máquina que tu hayas dado sea sólo un álias) y la IP.
En UNIX/Linux el comando es muy parecido, pero también existen otros comandos más potentes ...
Saludos,
Josep Pujadas
-
fijense que por fin la empresa me dio su dns de salida y funciona bastante bien, con lo del correo que me da el error de expiracion de tiempo, parece ser que efectivamente es el balanceo de carga el que me da el conflicto, porque uno de los routers no tenia señal y lo quite, ese dia nadie me reporto que lo habian sacado de su correo y probe entrar al mio de esa empresa y todo normal, no se si haya sido buena suerte pero los que trabajaron en sus webmail no tuvieron problemas, ahora que puerto especificos son de correo abajo tengo los alianses de correo (correoalias) pero en tcp alias tambien tengo dos de correo, cuales serian los puertos exactos para poder salir por uno de los routers solamente correo. ya que tengo dudas con el puerto 80 por ejemplo.
correoalias 25, 995, 465, 443, 80, 110 Puertos de correo
tcpalias 80, 443, 21, 53, 119, 25, 995, 20, 22 http,https,ftp,dns,nntp,correo,correo,ssh
udpalias 53, 119 dns, nttpOtra cosa la hora en el pfsense nunca me la cambio, la cambie probando con el commando
date -u MMDDhhmm donde MM es mes, DD es dia hh es hora y mm es minutos, los comandos los meti en diagnostic-command prompt. De todas maneras no me sirvio pero es bueno comentarlo para futuras ocasiones. -
¡Hola!
Si el correo es WebMail, va por el 80 si es http o per el 443 si es https. Esto es lo normal. Hay que mirar en la dirección de entrada del WebMail cuál se emplea (la que pone el navegador).
Si no es WebMail, el correo es el 110 para recoger (POP3) y el 25 para enviar (SMTP). Si hay POP3 seguro (con SSL) entonces es el 995:
http://www.iana.org/assignments/port-numbers
Esto también es lo normal, porque puede ir por otros puertos. Tu proveedor te lo tiene que decir.
En cuanto a la hora de pfSense, tendría que estar sincronizada correctamente … Comprueba que realmente puedes salir hacia el UDP 123, que es el puerto empleado para hacer NTP. Podría ser que tu router o proveedor te esté bloqueando el UDP 123. Puedes probar con la sincronización horaria en un ordenador, desde tu LAN (y si hay dudas también desde tus WAN).
En cuanto a NTP hay un compañero de la zona que dice haberse encontrado con problemas:
http://oriol.joor.net/blog/?item=pfsense-deixava-de-re-enviar-paquets-misteriosament (en catalán)
Explico brevemente la solución. Dice que hay que limitar el número simultáneo de conexiones para NTP en pfSense, véase foto: http://oriol.joor.net/article_fitxers/2159/pfsense.png (opciones avanzadas de la regla que tengamos para NTP).
Saludos,
Josep Pujadas