Problema con pfsense ayuda

bellera

Pues sencillo …

En LAN2 una regla "default" como la que tienes en LAN1 para poder ir a Internet.

En LAN1 una regla que autorice el tráfico de LAN1 hacia LAN2.

En LAN2 una regla que autorice el tráfico de LAN2 hacia LAN1.

Eso es lo mínimo/máximo. Es decir:

• Autorización para ir a cualquier sitio de Internet desde LAN1 y LAN2.
• Autorización para ir de cualquier forma de LAN1 a LAN2.
• Autorización para ir de cualquier forma de LAN2 a LAN1.

Después de probar esto puedes ir ajustando. Es conveniente permitir sólo aquello que se emplee. De lo contrario no tiene demasiado sentido tener un cortafuegos.

En www.bellera.cat/josep/pfsense/indice.html se explica un entorno MultiLAN y MultiWAN...

Saludos,

Josep Pujadas

gerar2

hola bellera muchas gracias por tomarte el tiempo de leer mis dudas, y tratar de ayudarme

el problema es que no se como hacer la regla ya que con la lan la regla por defecto es
*  LAN net  *  *  *  *      Default LAN -> any
pero con la opt1 no se como hacerla, ya que creo que hice igual a esta y de igual forma en la opt1 no tenia conexion a internet, espero puedas ayudarme y muchas gracias de antemanos

bellera

*      OPT1 net      *      *      *      *            Default LAN -> any

Si no hay conexión a Internet es que algo está mal. Seguramente la configuración de red (rango, gateway -la OPT1 de pfSense- o DNS) de los equipos.

Saludos,

Josep Pujadas

gerar2

buenos dias
estoy visualizando la repuesta dejada anteriormente muchas gracias por tomarte un minuto y responder
yo anteriormente habia hecho una configuracion similar usando como espejo o como guia la lan net

quedo algo parecido a esto
*      OPT1 net      *      *      *      *            Default LAN -> any
pero cre creo que en donde va defaul lan coloque opt1 net, de todas formas montare de nuevo y testiar la configuracion

edwin78

hola , llegaste a configurar bien la segunda LAN, pq haciendola segun indican:
*      OPT1 net      *      *      *      *            Default LAN -> any

a mi no me funciona solo un rato tuve acceso a internet luego se corto, por ahi buscando una configuracion encontre esta:
*  *  *  ! LAN net  *  *      Allow all to net - > ! LAN subnet 
y si funciono bien.

con respecto a esta configurcion no entiendo porque en Destination se marca el check "not" (Use this option to invert the sense of the match)  y en type esta LAN subnet cuando supuestamente deberia ser LAN2 subnet o OPT1 subnet esa es mi duda.
tengo desactivada esa regla pq estoy usando reglas por puertos:
TCP          LAN2 net  *  *  80 (HTTP)  *      HTTP 
TCP         LAN2 net * * 443 (HTTPS) *   HTTPS 
TCP         LAN2 net * * 21 (FTP)         *   FTP 
TCP         LAN2 net * * 110 (POP3) *   POP3 
TCP         LAN2 net * * 25 (SMTP) *   SMTP 
TCP/UDP LAN2 net * * 1863 (MSN) *   MSN 
TCP/UDP LAN2 net * * 53 (DNS)         *   DNS 
TCP/UDP LAN2 net * * 119 (NNTP) *   NNTP

pero desde ese momento estoy teniendo ciertos problemas al parecer pq en la pantalla del pfsense aparece
vr1: TX underrun –
vr1: TX underrun --
vr1: TX underrun --

y asi sucesivamente y vr1 corresponde a la LAN2 y cuando me fijo en status: interfaces observo en
wan:
In/out errors 0/33 (esto varia)

en lan1
In/out errors 0/0    y

en lan2
In/out errors  0/7083 (va en aumento)

alguien me podria ayudar por favor.

Gracias

bellera

**Intervención anterior pasa a http://forum.pfsense.org/index.php/topic,24173.0.html por ser otro tema.

Por favor, no mezclemos temas en un mismo hilo.**

bellera

@edwin78:

pero desde ese momento estoy teniendo ciertos problemas al parecer pq en la pantalla del pfsense aparece
vr1: TX underrun –
vr1: TX underrun --
vr1: TX underrun --

y asi sucesivamente y vr1 corresponde a la LAN2 y cuando me fijo en status: interfaces observo en
wan:
In/out errors 0/33 (esto varia)

en lan1
In/out errors 0/0    y

en lan2
In/out errors  0/7083 (va en aumento)

Problema con las placas de red, seguro. Tengo un máquina con FreeBSD (que no es crítica) y de vez en cuando me da errores similares porque tiene una placa de red de poca calidad.

El "de vez en cuando" es cuando se le pide demasiado trabajo para ella.

edwin78

el servidor que tewngo es una P4 con 3 tarjetas de RED Marca "Dlink" DFE-530TX las 3 tarjetas son las mismas, pero me extraña que en la LAN 1 funcione bien y en la LAN 2 pase esto.

bellera

Quizás porque va más cargada… Mira los gráficos de uso...

Quizás porque no está bien del todo en cuanto a hardware. Podrías probar a invertirlas. A ver si sucede lo mismo o no.

edwin78

y eso es lo peor en esa LAN2 solo uso mi pc (windows 7) y otras 5 (windows XP) devez en cuando, y en la LAN1 si ay 20 computadoras inalambricas atraves de un ap conectado directamente a esa tarjeta todo va bien al parecer, tambien hice el intercambio de tarjetas en "Interface assignments" y siempre pasa lo mismo en la lan 2 , es por eso que pienso que talvez pse eso pq esta mal configurada las reglas en LAN 2 como mencion anteriormente, adjunto las imagenes de mis reglas en lan 1 y lan 2:

bellera

Las reglas no te van a ocasionar problemas de este tipo.

Insisto en que es un problema de hard. Puede que incluso no sea la propia placa. También puede ser algo del cableado, switch.

Prueba invirtiendo físicamente la placas o incluso cambiándolas por otras.

También podrías probar de cambiar las IRQ usadas a través de la BIOS:

En Google, TX underrun site:forum.pfsense.org

gerar2

Disculpen me por haberme perdido del foro, pero aqui estoy de nuevo
Hermano, como te dijo el Sñr Bellera, es problema de hardware mas no de configuracion de firewall, puedo ver que tienes todo para que te funcione en las reglas del firewall pero lo critico es el error que te muestra, te invito a que pruebes una tarjetica de red mas robusta o simplemente una conocida, yo he usado algunas con chipses viejos para wan y dlink en la lan para que use 1gb/s de igual tengo la opt 1
de todas formas pega un grito y aquí te ayudamos

gerar2

luego de leer e indagar cambiar la direccion wan para poder solucionar el problema con el proxy abierto no lo he podido superar
quite el squid para probar solo envie 6 email y eso fue suficiente para que me agregaran de nuevo en la lista spammer,
http://cbl.abuseat.org/ y http://www.spamcop.net/
la verdad es que ya tengo el filtrado de puertos, ateriomente instale el squid+squidGuard, y nada ESTO ME CARGA CON LOS PELOS DE PUNTA!!!
quien me hecha una mano….

leoalfa09

Te recomendaria cambiar el puerto de smtp de tu server de correo por ejemplo al 8025 en lugar del 25 para ver si te resulve el problema a mi una vez me ocurrio esta detras de un Isa server y lo soluciones haciendo esto.

Otra cosa que haria es crear una regla en tu lan que bloquee el puerto 25 y ponerla a loguear, intentas enviar un correo y posteas los resultados, quizas sea un host infectado en tu red.

leoalfa09

Por cierto creo que ya nos estamos saliendo un poco del tema principal del post seria bueno sigas tus comentarios en otro post.