Como configurar pfsense con multiwan?

byrpa

Gracias por tu ayuda, ya me funciono a base de prueba tras prueba, solo me quedo un problemita, y es que cuando alguien manda un mail, lo manda con 8 horas adelantada, eso no seria problema, pero uno de los webmail que alguien usa, cuando se logea le dice que su tiempo expiro, como que tiene ya demasiado tiempo su mail abierto y no lo deja hacer nada.  Como puedo cambiar la hora y fecha al pfsense.    Ya apague la pc y le puse la hora correcta pero parece ser que al ingresar al internet esta definido como españa  o algo asi, puesto que se adelanta la hora, yo estoy en Guatemala, Centroamerica.

Gracias y saludos a todos.

bellera

¡Hola!

Lo de la hora es un quebradero de cabeza para muchos. Dudo que sea pfSense el que te esté provocando el problema. Lo digo porque la hora de un e-mail depende del ordenador que lo emite y del servidor de correo que lo procesa. El cortafuegos no interviene para nada.

Hay que cerciorarse de que las máquinas estén en la hora correcta y, sobretodo, en la zona horaria correcta.

En Windows hay que pichar en el reloj, ajustar la hora y la zona horaria. Si es WinXP hya también la pestaña [Hora de Internet] para sincronizar la hora con un servidor externo. Como servidores externos recomiendo los "pools" de http://www.pool.ntp.org. Para que la sincronización horaria funcione desde la LAN hay que permitir el puerto 123 por UDP (http://es.wikipedia.org/wiki/Network_Time_Protocol).

Si administras tu servidor de correo tendrás que asegurarte que tenga la hora y la zona horaria correctas. Te sugiero que emplees un servicio NTP para que mantenga la hora correcta a partir de un servidor de hora externo (http://www.pool.ntp.org). Si no lo administras tu y a pesar de tener las estaciones correctamente configuradas sigues teniendo problemas con el correo, habla con el administrador del servidor de correo.

Para terminar, si quieres que tu pfSense tenga la hora correcta tienes que ir a [System] [General Setup] y rellenar correctamente los apartados

byrpa

Pues fijate que en system-general setup, tengo time zone como america/guatemala, que es mi ubicacion y en Ntp time server, esta pool.ntp.org, estuve haciendo pruebas a pc le adelante 8 horas la hora y funciono todo perfecto, pero cuando ponga la hora actual, el correo webmail dice que el tiempo a expirado y me saca, no tengo servidor de correo, es una empresa independiente, www.itelgua.com y ellos dicen que no tienen ningun problema con eso, abri el puerto 123 pero nada.  y una ultima cosa, fijate que te respondo cada dia porque en la lan que tengo en la empresa donde esta el pfsense, no entra este foro, solamente en mi casa, habra algun puerto especial para este tipo de foros, ya que no entiendo porque no entra.

muchas gracias por tus respuestas, estare pendiente.  no se donde poder subir el archivo xml para que le eches un revison, mi mail es byron.paredes arroba gmail.com, sin espacios. gracias

Jafocu

Hola!

Como dice Josep, el problema que tienes seguro que no tiene nada que ver con pfSense. Que una persona no pueda iniciar sesión en un servidor webmail porque su sesión ha expirado es por culpa de este mismo servidor. A veces proveedores de internet no quieren reconocer algunos problemas que tienen.

Por cierto tu proveedor de correo es de tu zona o está en otro pais con diferencia horaria? Porque puede ser que el servidor de correo le afecte la hora.

"una ultima cosa, fijate que te respondo cada dia porque en la lan que tengo en la empresa donde esta el pfsense, no entra este foro, solamente en mi casa, habra algun puerto especial para este tipo de foros, ya que no entiendo porque no entra."

Esto que comentas, un foro no tiene un puerto especial. Es el de toda la vida el 80 ( como norma general ) o sea http. Si no puedes entrar es porque el firewall lo bloquea o que el proveedor de servicios de acceso a Internet bloquea la ip del foro. También es porque puedas tener un antivirus con firewall que no te permita algunas operaciones.

Saludos

byrpa

El webmail esta en el pais, y cuando me conecto desde otro lugar no sucede eso, solo en esa lan en la que tengo pfsense, ya puse puerto 123 y 119, pero no logro que se conecten.  Ya me estoy desesperando. gracias por sus respuestas.

bellera

:-[ ¡Ostras, se perdió mi post de esta mañana!

Vamos al grano …

¿Esto le pasa a todos los usuarios/máquinas de tu LAN? Prueba a limpiar las cookies y la cache del navegador de un usuario, sin estar en el WebMail. Cierra el navegador y vuelve a abrirlo. Entra de nuevo en el WebMail ...

¿Hay algún proxy por en medio? Control+Refrescar o Mayúsculas+Refrescar (no recuerdo qué combinación corresponde a IExplore y a Firefox) para forzar el proxy ...

Si quieres, puedes enviarme tu xml a josep_en_bellera_punto_cat

Igualmente, si quieres y puedes, una cuenta temporal en el WebMail para ver si está empleando algún puerto "raro" para alguna de sus operaciones.

Saludos,

Josep Pujadas

Jafocu

Hola!

Como comenta Josep. Tienes un proxy por el medio o tu provedor tiene un proxy?
Ejecuta este enlace para saber si pasas por un proxy. http://www.internautas.org/w-testproxy.php

Si pasas por un proxy, prueba de bajarte este pequeño programa (PasaKche) para que cuando hagas una consulta a tu webmail o pàginas web, obligue al proxy a refrescar datos.

http://www.internautas.org/html/1110.html

Puede ser que tu proveedor de acceso a internet tenga un proxy y este haciendo cosas extrañas.

Pruebalo. De esta manera podemos descartar cosas.

Saludos

byrpa

No, pues fijense que nada de eso, no hay proxy ni nada por el estilo, solamente el pfsense,  ahora estoy usando outlook express mientras resuelvo en el webmail, ya que esta empresa tiene popd, no se a donde poder mandarte el xlm mi direccion es byron.paredes arroba gmail.com, gracias a todos

Jafocu

Hola!

Has probado de conectar el PC directamante a Internet para ver si funciona bien el webmail?

Si te funciona bien, lo que puedes hacer tambien es volver a instalar pfSense y configurarlo por partes, de esta manera si en un momento de la configuración te vuelve a pasar lo mismo podremos acotar el problema y encontrar la solución.

Saludos

byrpa

Pues fijate que antes de poner el pfsense corria bien, pero mi problema era el siguiente, tenia que tener dos cableados diferentes para cada router que tengo, ademas de un tercero para la red, ahora con el pfsense solo tengo 1 cableado, tengo el balanceo de carga, ademas de bloqueo de p2p, les recuerdo que soy novato en el pfsense asi que posiblemente algo malo tengo en mi configuracion la cual adjunto para que echen una manita, el archivo es xml pero le cambie la extencion a txt para poder subirla, asi que hay que renombrar.

Lo que desearia es tener balanceo de carga, bloqueo de p2p, que puedan navegar sin problemas y correo pop y webmail.

muchas gracias de antemano.

[pfense 18-10-2007.txt](/public/imported_attachments/1/pfense 18-10-2007.txt)

byrpa

Se me olvidaba comentarles que este foro no entra en esa red, y asi hay algunas paginas que estan como bloqueadas no se porque, y la direccion de monitoreo la copie de un manual que encontre en la red, ya que no poseo direccion ip publica, pero eso a funcionado sin problemas, quito manualmente una cable y sigo navegando y viceversa, saludos

bellera

Hum …

Le dado un vistazo a tu config.xml y no veo nada raro ... Desgraciadamente en mi máquina de pruebas sólo tengo LAN/WAN y no puedo cargarlo para verlo.

Sin embargo se me ocurre que habiendo balanceo de carga yo pondría una regla con destino hacia el servidor de correo que pasara obligatoriamente por uno de los routers, en lugar de hacerlo por el balanceo.

Evidentemente eso tiene la pega de no tener failover pero algo me dice que el problema puede ser el balanceo. Haz la prueba y dinos cómo ha ido.

Saludos,

Josep Pujadas

Jafocu

Hola!

Yo tambien le dado un vistazo al xml y no he visto de primeras nada anormal. Yo he utilizado una configuración parecida y no he tenido ningún problema parecido. Igualmente probaré el xml a ver si me sucede lo mismo y poder encontrar el problema.

Sin embargo se me ocurre que habiendo balanceo de carga yo pondría una regla con destino hacia el servidor de correo que pasara obligatoriamente por uno de los routers, en lugar de hacerlo por el balanceo.

Evidentemente eso tiene la pega de no tener failover pero algo me dice que el problema puede ser el balanceo

Esto funcinaria. Lo que es estraño es que partes de este foro no puedas acceder. Actualmente tengo una configuración con dos wan haciendo balanceo y puedo acceder a este foro sin problemas. Lo que no he probado es acceder a un webmail externo des de la Lan.

Igualmente si tengo un momento utiliazar tu configuración y la probaré´.

Saludos.

byrpa

Buenos dias a todos, figurense que mi desesperacion llego a traerme el cpu con el pfsense y 1 de los routers inalambricos a mi casa, lo instale y funciona todo perfecto hasta ahora, incluso ahora estoy pasando por el pfsense, lo que confirma la teoria de que es el proveedor de internet que bloquea esta pagina y me saca del webmail, lo unico raro es que lo de webmail solo pasa cuando pasa por el pfsense, como que hubiera alguna incompatibilidad con algun software de ellos o algo asi, aca en mi casa tengo otro proveedor de internet y aparte puse uno de los routers inalambricos que tengo en la empresa, pero todo funciona normal.   Ya he llamado a los del servicio inalambrico pero dicen que ellos no tienen ningun problema que el problema es mi firewall, pero ahora confirmo que no, es mas el inalambrico no agarra en mi casa, estoy saliendo unicamente por la LAN2, como tiene el load balancer, no hay problema, gracias a todos, seguire llamando al proveedor a ver que pasa.

De todos modos si pudieran echarle un chequeadita a mi configuracion para ver si no hay algo malo, se los agradeceria, gracias amigos.
bye.

Sigo haciendo pruebas, creo que el error es en los DNS el que trae los routers es este: 216.70.224.17, pero cuando lo configuro de la forma manual en las pc clientes, (con XP, lo hago asi porque no tengo dhcp activo para mejor seguirdad) no entra ninguna pagina, cuando pongo el 216.230.147.90 que es de otro proveedor (el de mi casa) si entra normal, y ese es el que he estado usando (en la empresa), pero puede ser que alguno de los dos tenga diferente horario, hay algun dns publico que pueda usar para no crear conflicto, o como puedo testear que el primer dns este funcionando correctamente???, ya que no entra cuando dejo solo ese, ahora tengo como primario el 216,70,224,17 y secundarios el otro.

bellera

¡Hola!

De DNS público puedes emplear el que quieras. El problema es que, para ir bien, tienes que emplear uno de cercano a tí (simplemente por tiempo de respuesta).

Los DNS sólo hacen un traducción de nombre máquina a IP, por lo que no influyen en el horario de tus correos.

Dices que no has puesto el DHCP en las estaciones Windows por seguridad. Precisamente escogí pfSense porque puede hacer DHCP estático. Me explico, activas el DHCP y luego capturas las MAC en la tabla de direcciones asignadas automáticamente para indicar una IP que va a ser siempre la misma. Es más, una vez tienes todas las MAC puedes "cerrar" tu LAN a nuevas máquinas. O sea que más seguro que el DHCP que lleva pfSense …

Te recomiendo que lo pruebes, porque a partir de entonces tu puerta de enlace y tu DNS es pfSense quien los pone. Esto da una gran flexibilidad (y seguridad ...):

http://www.bellera.cat/josep/pfsense/dhcp_cs.html

Llegado a ese punto, en la configuración general de pfSense pones los DNS públicos que te interesen ...

http://www.bellera.cat/josep/pfsense/config_base_cs.html#system_general_setup

La pantalla sólo admite dos, pero yo tengo metidos cuatro ¿Cómo? Guardas tu XML, lo editas metiendo los DNS de más que te interesen y cargas el fichero modificado. Si tu red es algo grande conviene que el primero sea un DNS local en tu red. Además, pfSense tiene su propio DNS pero es pequeñito, pero rápido (si empleas DHCP va a ser el primero para tus estaciones):

http://www.bellera.cat/josep/pfsense/dns_cs.html

Es conveniente tener unos cuantos DNS definidos en pfSense por si hay fallos ...

Pero lo que explicas parece más bien una mala resolución por parte del DNS que una no-resolución. En todo caso no estás obligado a emplear los DNS de tu proveedor. Puedes meter los que quieras. Y los que llevan puestos tus routers sirven para tus routers. No influyen en los que pongas en tus equipos, a no ser que éstos se configurasen por DHCP en tus routers (es por ello que en los routers hay unos DNS puestos).

Si quieres testear la resolución DNS desde tus máquinas Windows puedes emplear el comando nslookup nombre_máquina

Te dirá qué servidor DNS te está dando la respuesta, si la respuesta es autoritativa (es decir, si es ese DNS quien tiene la "propiedad" del nombre), el nombre con que está registrada la máquina (puede que el nombre_máquina que tu hayas dado sea sólo un álias) y la IP.

En UNIX/Linux el comando es muy parecido, pero también existen otros comandos más potentes ...

Saludos,

Josep Pujadas

byrpa

fijense que por fin la empresa me dio su dns de salida y funciona bastante bien, con lo del correo que me da el error de expiracion de tiempo, parece ser que efectivamente es el balanceo de carga el que me da el conflicto, porque uno de los routers no tenia señal y lo quite, ese dia nadie me reporto que lo habian sacado de su correo y probe entrar al mio de esa empresa y todo normal, no se si haya sido buena suerte pero los que trabajaron en sus webmail no tuvieron problemas, ahora que puerto especificos son de correo abajo tengo los alianses de correo (correoalias) pero en tcp alias tambien tengo dos de correo, cuales serian los puertos exactos para poder salir por uno de los routers solamente correo. ya que tengo dudas con el puerto 80 por ejemplo.

correoalias  25, 995, 465, 443, 80, 110  Puertos de correo   
tcpalias  80, 443, 21, 53, 119, 25, 995, 20, 22  http,https,ftp,dns,nntp,correo,correo,ssh   
udpalias  53, 119  dns, nttp

Otra cosa la hora en el pfsense nunca me la cambio, la cambie probando con el commando
date -u MMDDhhmm donde MM es mes, DD es dia hh es hora y mm es minutos, los comandos los meti en diagnostic-command prompt.  De todas maneras no me sirvio pero es bueno comentarlo para futuras ocasiones.

bellera

¡Hola!

Si el correo es WebMail, va por el 80 si es http o per el 443 si es https. Esto es lo normal. Hay que mirar en la dirección de entrada del WebMail cuál se emplea (la que pone el navegador).

Si no es WebMail, el correo es el 110 para recoger (POP3) y el 25 para enviar (SMTP). Si hay POP3  seguro (con SSL) entonces es el 995:

http://www.iana.org/assignments/port-numbers

Esto también es lo normal, porque puede ir por otros puertos. Tu proveedor te lo tiene que decir.

En cuanto a la hora de pfSense, tendría que estar sincronizada correctamente … Comprueba que realmente puedes salir hacia el UDP 123, que es el puerto empleado para hacer NTP. Podría ser que tu router o proveedor te esté bloqueando el UDP 123. Puedes probar con la sincronización horaria en un ordenador, desde tu LAN (y si hay dudas también desde tus WAN).

En cuanto a NTP hay un compañero de la zona que dice haberse encontrado con problemas:

http://oriol.joor.net/blog/?item=pfsense-deixava-de-re-enviar-paquets-misteriosament (en catalán)

Explico brevemente la solución. Dice que hay que limitar el número simultáneo de conexiones para NTP en pfSense, véase foto: http://oriol.joor.net/article_fitxers/2159/pfsense.png (opciones avanzadas de la regla que tengamos para NTP).

Saludos,

Josep Pujadas

byrpa

Bueno, tal y como la habia pronosticado Bellera creo que el problema era el balanceo que estaba haciendo, el cual no se porque, ya todos los webmail como yahoo, gmail, hotmail, etc, trabajan bien excepto el de www.itelgua.com, pero creo que se resolvio redireccionando el puerto 443, que es el que usa este webmail hacia uno de los routers, hasta el momento no he tenido problemas, claro esta que cuando este router falla, no pueden leer correos, que por el momento no ha pasado pero va a pasar.

El problema de la hora, lo resolvi en la forma que indique en el post anterior, con el comando date, aunque eso era porque pense que alli radicaba el problema, pero no era asi.

Muchas gracias a los que me ayudaron a resolver este problemita que empezo unicamente con el balanceo de carga y poco a poco fueron saliendo otros detalles.

liveservice

Que tal amigo byrpa podrias explicar en una especie de mini-howto como lograste que te jalara el balanceo por que yo no he logrado echarlo a andar, mi problema es un poco mas complejo por que una de mis cuentas es adsl y la otra es de internet por cable la cual esta detras de un proxy pero tu howto me serviria de referencia para ver si logro mi proposito. a proposito sabes si es posible usar dos cuentas diferentes de Dyndns una para cada Wan al mismo tiempo?. Gracias de antemano

byrpa

Perdona por no contestar, pero no habia podido ingresar por motivos de tiempo, en los post anteriores subi toda la configuracion que tenia mi pfsense, el cual ya trabaja bastante bien, excepto por el correo webmail de una empresa local, pero se resolvio mandando el trafico por uno de los routers, sin balanceo.

Cual es tu problema para ver si te puedo ayudar en algo, que es lo que no te funciona?