Problemas con PfSense RC2 3.0

ptt

Si lo que quieres es deshabilitar el NAT, revisa aquí:

http://doc.pfsense.org/index.php/Main_Page

http://doc.pfsense.org/index.php/How_can_I_completely_disable_NAT%3F

sopordit

Ya tengo deshabilititado el NAT y solo me hace ping de la interfaz WAN a la interfaz LAN, de forma contraria no. En el Firewall tengo permitido cualquier protocolo desde cualquier ip a cualquier direccion.

Alguna idea ?

bellera

Mi deseo no es hacer NAT es solo rutear de una interfaz a otra con las correnpondientes reglas, ahora tanto en WAN como en LAN lo tengo permitido todo y aun asi solo me deja pasar los pines de la WAN a la LAN de forma contraria no.

En este caso te sugiero una tercera interfase OPT1 configurada en modo LAN, no en modo WAN.
Das permisos en LAN (de LAN a OPT1) y en OPT1 (de OPT1 a LAN).

sopordit

Esta interfaz que me hablas es virtual o fisica ????? Ya esto que me hablas es totalmente nuevo para mi.

Con mis dos tarjetas de red y mis interfaces creadas el PfSense no es capaz de comunicarse entre las dos ????

Saludos y gracias

bellera

¿Esta interfaz que me hablas es virtual o física?

Bueno, depende del contexto de tu instalación.

¿Con mis dos tarjetas de red y mis interfaces creadas el PfSense no es capaz de comunicarse entre las dos?

Prueba a poner en LAN una regla específica que autorice el tráfico ICMP.

Puede que haya en error.

Te sugería la solución de la tercera tarjeta porque entre dos LAN no hay ninguna relación "por defecto" a no ser que tu la configures mediante reglas. Suelo buscar siempre el origen del problema pero cuando no lo sabes ver hay que tratar de ir por otro camino.

¡Suerte!

sopordit

El contexto de mi instalacion a mi entender lo veo bastante sencillo, es solo probar el PfSense con el objetivo de crear una DMZ siendo este el primer Firewall de la DMZ.

–--Red LAN-------Firewall DMZ-----Red DMZ------ Firewall DMZ----Internet
192.168.0.0/24      (PfSense)      10.0.0.0/24        (Astaro)

la Regla para la WAN (10.0.0.6)          es allow ICMP any from 10.0.0.5 to 192.168.0.251
la Regla para la LAN (192.168.0.6)      es allow ICMP any from 192.168.0.251 to 10.0.0.5

10.0.0.5 y 192.168.0.251 son maquinas sin firewall activado ni nada en el medio que no me deje llegar el ping

Bellera con la reglas que te puse arriba el ping solo va de la 10.0.0.5 a la 192.168.0.251 sin embargo al revez no llegan, me resulta esto inclusive un poco ilogico pq para que el ping se haga el equipo al que se le hace ping envia una respuesta y si no estuviese bien puesta la regla la respuesta del ping enviado no llegaria supongo yo.

El misterio para mi consiste en pq al revez no llega.

Saludos y disculpa tantas molestias

bellera

Lógico que no te funcione.

La explicación es que una WAN envía siempre el tráfico hacia la puerta de enlace que tiene definida. Si la puerta de enlace es capaz de "rebotar" el tráfico entonces te funcionará. Hay algunos routers que lo hacen, http://es.wikipedia.org/wiki/Enrutamiento_basado_en_pol%C3%ADticas

En cambio una segunda LAN (OPT1) no te hará esto. Por tanto, una DMZ tiene que estar en una tercera interfase.

Ejemplos:

http://lutung.library.ums.ac.id/freebsd/pfSense/docs/special_nat_configuration_with_pfsense.php.html

http://www.bellera.cat/josep/pfsense/Valladolid-2008-07-03_v12.pdf (página 31).

Saludos y no te preocupes por preguntar… para eso estamos...

sopordit

Te entiendo pero no te comprendo del todo bien

–--Red LAN-------Firewall DMZ-----Red DMZ------ Firewall DMZ----Internet
192.168.0.0/24      (PfSense)      10.0.0.0/24        (Astaro)
                  (192.168.0.6/10.0.0.6)                  (10.0.0.1/internetl)

Mi Wan en el PfSense tiene puesto como gateway el 10.0.0.1
Mi Lan no tiene puesto gateway

Mi Maquina cliente en la LAN tiene 192.168.0.251 con gateway 192.168.0.6
Mi Maquina cliente en la DMZ tiene 10.0.0.5 con gateway 10.0.0.6

Bajo este escenario no deberia funcionar ???? Igual a la maquina cliente en la DMZ le puse como gateway el 10.0.0.1 y no pasan los pines de la 192.168.0.0 a la 10.0.0.0

Saludos

bellera

Mi Wan en el PfSense tiene puesto como gateway el 10.0.0.1

Ya…

Lógico que no te funcione.

La explicación es que una WAN envía siempre el tráfico hacia la puerta de enlace que tiene definida. Si la puerta de enlace es capaz de "rebotar" el tráfico entonces te funcionará. Hay algunos routers que lo hacen, http://es.wikipedia.org/wiki/Enrutamiento_basado_en_pol%C3%ADticas

Insisto en que el tráfico que se envía a WAN va directamente a 10.0.0.1. Si 10.0.0.1 no "rebota" el tráfico de su subred no te irá.

sopordit

Buenas noticias pero malas jejejeje

A ver bellera, he seguido tus consejos al pie de la letra y las rutas estaticas para que reboten los pines estan hechas y todo esta debidamente bien enruteado.

Las buenas noticias es que ya todo esta funcionandome perfecto.

La mala noticia es que tuve q bajar de version ahora estoy usando la 1.2.3 para VM y todo va de maravilla.

Se me habia comentado decirte que tenia la version RC2 virtualizada y no estaba usando la imagen que da el pfsense para virtualizacion (no se si este detalle era muy importante o no) ahora pregunto, todo mi andamiaje funciona pq baje la version a la 1.2.3 o pq no tenia puesto en una maquina virtual la imagen del pfsense para maquinas virtuales ?????

Saludos y muchas gracias