Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Posible Falla en el servicio DNS del Pfsense

    Español
    3
    5
    5.1k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      sanchezluys
      last edited by

      Hola a todos… :D

      He notado una posible falla en la version 1.2RC3 del pfsense, o un error en la configuracion que le he hecho en el servicio DNS que corre en este sistema. Les cuento:

      de manera aleatoria los usuarios presentan problemas para navegar, dado que tengo el captive portal activado a veces son como "expulsados" aun asi cuando vuelven a ingresar las conexiones se tornan lentas hasta que dejan de poder navegar.
      en las revisiones de los logs a ver que error se puede estar presentando no se indica nada evidente, asumo que es un problema en el servicio DNS dado que cuando se inicia la falla reviso de inmediato todo, y he notado que al ejecutar un tracert a www.google.com la direccion no se resuelve, aun asi en el estatus del sistema en services el DNS forwared esta activo y corriendo.

      les ha pasado algo igual?  de que otra manera descarto que es el servicio de DNS el que esta fallando?

      he tenido que reiniciar el pfsense para poder reactivar la navegacion.

      Gracias por sus comentarios... :)

      ** Soporte Via Correo en Venezuela **
      - diseño y puesta en marcha del portal cautivo, eliminacion de p2p, control de acceso de usuarios, instalacion y configuracion basica del pfsense, OpenVpn - Equipos con S.O. PC-BSD, OpenBSD, Linux, Win y OpenSolaris sobre x86
      www.adrianamoda.com.ve

      1 Reply Last reply Reply Quote 0
      • M
        mincho
        last edited by

        presisamente hoy vuelvo a hacer pruebas con el portal cautivo, luego comentare si noto algo parecido…

        Te comento que los usuarios todos los tengo para que pasen por mac, el unico que tengo para que le pida usuario y contraseña soy yo mismo, para no molestar a nadie..., mientras hago pruebas...

        en "Idle timeout" tengo 180 minutos...

        y en "Hard timeout" tengo 240 minutos, lo que quiere decir que luego de 4 horas tendre que pasar por el portal de nuevo, y asi cada 4 horas...

        Luego comento....

        Un Saludo....

        1 Reply Last reply Reply Quote 0
        • belleraB
          bellera
          last edited by

          Vamos por partes …

          1. ¿Están puestos los DNS externos para pfSense en [System] [General Setup] ¿Está comprobado el funcionamiento de estos DNS externos? Podría ser que fallaran si no son muy confiables …

          2. ¿Las estaciones van por DHCP? Si es así, los DNS para las estaciones los asigna pfSense. El primero es la IP de la LAN de pfSense, a no ser que hayas puesto algo en [Services] [DHCP Server] [LAN] [DNS Servers]. Si las estaciones son Windows, verifíquese el tema con ipconfig /all

          3. El DNS forwarder de pfSense es un servidor DNS de poca capacidad de direcciones, pero bastante rápido. Por tanto sirve como primera fuente de resolución pero tiene que tener más DNS por detrás, los cuales están metidos en [System] [General Setup]. Evidentemente lo "ideal" es contar con un buen servidor DNS local si la red tiene un gran número de peticiones y/o si la administras como un dominio (interno). Pero no tendría que fallar, por no tener este servidor DNS local. Más bien pienso que si lo que falla es la resolución DNS puede ser por pfSense (como dices) o porque fallan los DNS externos. ¡Ojo! Supongo que el tráfico hacia los DNS externos está autorizado. Puerto 53 UDP y TCP …

          4. Captive Portal emplea IPFW, mientras que el resto de pfSense emplea PF. Revisar el comportamiento de IPFW desde la consola SSH podría sacar de dudas. Si Captive Portal corta la comunicación lo hace para todo, no sólo para la navegación. Es una pista ... El comando ipfw list permite listar las reglas. Manual de IPFW: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html

          5. Con nslookup www.google.com en las estaciones podrás comprobar realmente si la resolución DNS está funcionando. También te dirá cuál de tus DNS ha hecho la resolución. Prueba a resolver varios nombres, no sólo www.google.com.

          A ver que …

          Saludos,

          Josep Pujadas

          1 Reply Last reply Reply Quote 0
          • S
            sanchezluys
            last edited by

            @bellera:

            Vamos por partes …

            1. ¿Están puestos los DNS externos para pfSense en [System] [General Setup] ¿Está comprobado el funcionamiento de estos DNS externos? Podría ser que fallaran si no son muy confiables …

            R: si, coloque como primer dns la ip del pfsense, y dns secundaria una de las dns del proveedor, este ultimo funciona, lo que no se es como agregar los otros dos dns del proveedor en el dhcp server…

            2. ¿Las estaciones van por DHCP? Si es así, los DNS para las estaciones los asigna pfSense. El primero es la IP de la LAN de pfSense, a no ser que hayas puesto algo en [Services] [DHCP Server] [LAN] [DNS Servers]. Si las estaciones son Windows, verifíquese el tema con ipconfig /all

            R: si, el servcio dhcp esta activo corriendo y funciona bien, de hecho tengo direccionamiento ip estatico tal como tu recomiendas, al revisar cada maquina se toma perfectamente la ip, la mascara, el default gateway y los dns (los wins no los estoy utilizando)

            3. El DNS forwarder de pfSense es un servidor DNS de poca capacidad de direcciones, pero bastante rápido. Por tanto sirve como primera fuente de resolución pero tiene que tener más DNS por detrás, los cuales están metidos en [System] [General Setup]. Evidentemente lo "ideal" es contar con un buen servidor DNS local si la red tiene un gran número de peticiones y/o si la administras como un dominio (interno). Pero no tendría que fallar, por no tener este servidor DNS local. Más bien pienso que si lo que falla es la resolución DNS puede ser por pfSense (como dices) o porque fallan los DNS externos. ¡Ojo! Supongo que el tráfico hacia los DNS externos está autorizado. Puerto 53 UDP y TCP …

            R: si, los puertos estan habilitados siguiendo tu tutorial, si deseo montar un dns aparte cual me recomiendas???

            4. Captive Portal emplea IPFW, mientras que el resto de pfSense emplea PF. Revisar el comportamiento de IPFW desde la consola SSH podría sacar de dudas. Si Captive Portal corta la comunicación lo hace para todo, no sólo para la navegación. Es una pista … El comando ipfw list permite listar las reglas. Manual de IPFW: http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html

            R: pendiente por revisar con este comando cuando falle…

            5. Con nslookup www.google.com en las estaciones podrás comprobar realmente si la resolución DNS está funcionando. También te dirá cuál de tus DNS ha hecho la resolución. Prueba a resolver varios nombres, no sólo www.google.com.

            A ver que …

            Saludos,

            Josep Pujadas

            ** Soporte Via Correo en Venezuela **
            - diseño y puesta en marcha del portal cautivo, eliminacion de p2p, control de acceso de usuarios, instalacion y configuracion basica del pfsense, OpenVpn - Equipos con S.O. PC-BSD, OpenBSD, Linux, Win y OpenSolaris sobre x86
            www.adrianamoda.com.ve

            1 Reply Last reply Reply Quote 0
            • belleraB
              bellera
              last edited by

              ¡Hola!

              coloque como primer dns la ip del pfsense, y dns secundaria una de las dns del proveedor, este ultimo funciona, lo que no se es como agregar los otros dos dns del proveedor en el dhcp server…

              En la interfase web sólo se pueden poner dos en [System] [General Setup]. Los dos tienen que ser fuera de pfSense, no hay que poner la IP de pfSense. Por tanto, puedes meter ahí los DNS externos, de tu ISP, hasta que no tengas un DNS propio (si lo quieres).

              Para tener más DNS externos tienes que guardar config.xml en un ordenador, copiarlo y editarlo:

              <dnsserver>AAA.AAA.AAA.AAA</dnsserver>
              <dnsserver>BBB.BBB.BBB.BBB</dnsserver>
              <dnsserver>CCC.CCC.CCC.CCC</dnsserver>
              <dnsserver>DDD.DDD.DDD.DDD</dnsserver>

              para después volverlo a cargar …

              La edición de config.xml es un truco que permite meter cosas no previstas en la interfase web. La pega es que significa el reinicio del cortafuegos y que si modificas la sección correspondiente con la intefase web pierdes los cambios realizados por este método.

              En el DHCP server no es imprescinbible poner DNS. Tal como dice "NOTE: leave blank to use the system default DNS servers" si no se pone nada se emplean los definidos en el sistema. Si quieres meter más igual se puede hacer con el truco config.xml. Pero yo no tengo ninguno puesto, con unas 200 máquinas por DHCP ...

              los wins no los estoy utilizando

              WINS sólo es necesario en caso de emplear Samba/CIFS en varias subredes. Como el protocolo de compartición de archivos (el entorno de red) de Microsoft no es enrutable WINS permite "ver" los servicios Samba/CIFS que están en distintas subredes.

              si deseo montar un dns aparte cual me recomiendas?

              Yo siempre he usado named (bin9) ya que con FreeBSD viene por defecto y sólo hay que activarlo y crear las zonas:

              http://www.freebsd.org/cgi/man.cgi?query=named&apropos=0&sektion=0&manpath=FreeBSD+6.2-RELEASE&format=html

              http://www.isc.org/index.pl?/sw/bind/index.php

              Saludos,

              Josep Pujadas

              1 Reply Last reply Reply Quote 0
              • First post
                Last post