Ayuda! Problemas con NAT puerto HTTP en Red lan

pfsensePAM

Hola, estamos trabajando con pfsense y resulta que tenemos el siguiente problema. Resulta que creamos una regla NAT al puerto HTTP de una pc de mi red y  el acceso funciona correctamente desde fuera de la RED. Pero localmente no.
Osea, si yo ingreso desde el browser desde mi telefono a www.misitio.com el sitio se carga correctamente.
Pero cuando ingreso desde una pc que esta dentro de la LAN de Pfsense, me redirige a https://www.misitio.com y me pide un certificado.

Cual puede ser el problema?

Saludos..

nnicanor

Hola,

En System/avanced/Firewall Nat quita el chulo de Disable Nat Reflection y listo

Slds

pfsensePAM

ok y  muchas gracias por la ayuda nnicanor.
saludos..

pfsensePAM

no funciona, me dice error ssl.
saludos

pfsensePAM

Les paso como tengo configurado mi Pfsense,  a ver si alguien detecta mi problema.

pfsensePAM

adjunto como tengo el dhcp.

bellera

El error no depende de pfSense.

Si el servidor web precisa de acceso https tendrá que tener su certificado de servidor SSL y los clientes que se conecten a él el de cliente.

Esto puede ser de pago o te lo puedes hacer tú con openssl. La diferencia si te lo haces tú los usuarios deberán instalar "a mano" el certificado de cliente.

Te dejo el hilo sobre el tema…

http://forum.pfsense.org/index.php?topic=18466.0

Saludos,

Josep Pujadas

pfsensePAM

En realidad no quiero acceder por https, solo quiero x http.  La voy a desactivar a esta regla para ver si soluciona mi problema.
Saludos..

pfsensePAM

Hola, probe desabilitando el Nat https y sigo con el mismo problema. No se porque me envia al puerto https, yo solo quiero entrar al puerto http.
Si confirmo la excepción me aparece el siguiente mensaje(Adjunto la imagen).

saludos..


bellera

¿Quién 192.168.25.239 para tí, un servidor web en LAN o la LAN de tu pfSense?

¿Estás usando squid? ¿En caso de usarlo, está en modo transparente?

Si Disable NAT Reflection no te funcionó deberías usar Services - DNS Forwarder - Host Overrides para los equipos de tu dominio, a fin de que se resuelvan internamente.

pfsensePAM

La ip 192.168.25.239 es un Servidor WEB de mi LAN.  Este servidor desde fuera de mi LAN ingreso correctamente, el problema es acceder desde una pc de mi Lan.

Saludos..

bellera

Perdona… Efectivamente ahora veo en una de las imágenes que tu pfSense está en la .230

Si Disable NAT Reflection no te funcionó deberías usar Services - DNS Forwarder - Host Overrides para los equipos de tu dominio, a fin de que se resuelvan internamente.

¿Probaste a acceder por IP? Si accedes por IP el problema está en la resolución DNS. Tienes que asegurarte que pfSense opere como DNS interno de tu LAN y añadir tu nombre en Internet del servidor en Services - DNS Forwarder - Host Overrides

pfsensePAM

Por IP ingreso sin ningun problema. En cuanto a los dns en Pfsense 2.0 los tengo como se muestra en la imagen. Ademas el Pfsense me otorga por dhcp las ip 192.168.25.x a mi LAN.
Cual opcion tengo q setear en el DNS??

Saludos y muchas gracias por la ayuda.

bellera

Imagen de split DNS…

pfsensePAM

Muchas Gracias Josep por la ayuda. Esta Opcion de Host Overrides tambien la probe y tampoco me funcione como que se queda cargando y me redirige al https.
Mi servidor web es un debian y me queda la duda si tengo que agregar alguna info al archivo host.

Saludos..

bellera

Tienes algo incorrecto en la instalación.

Split DNS tiene que ir. Es lo más recomendable para resolver nombres de Internet con IPs internas.

En el equipo desde donde testeas tienes que tener como DNS la LAN de pfSense. Esta es la configuración por defecto cuando se emplea DHCP y está activado el DNS Forwarder.

Seguramente tu equipo de pruebas está resolviendo de otra forma.

A parte de esto tienes algún problema más porque no es normal que si pides http te cambie automáticamente de https. Eso puede ser la configuración del servidor web que tienes.

pfsensePAM

Muchas gracias Josep. Voy a seguir revisando porque es raro que siempre me envie a Https.

saludos..

pfsensePAM

Puede ser que la regla anti-lockout sea la que me redirige a Https.
Cual es su funcionalidad?
Saludos..


pfsensePAM

Si tildo la siguiente opción  DNS rebind (Adjunto Imagen) me envía a la pagina del login de Pfsense. Puede ser que el problema se me presenta con el webconfigurator.

Adjunto la imagen con el error que me sale cuando ingreso a mi port forward.

Saludos…

bellera

Puede ser que la regla anti-lockout sea la que me redirige a Https.
¿Cuál es su funcionalidad?

No. Es una regla de paso. Las reglas no redirigen. Dejan o no dejan paso.

Está en primer lugar para garantizar el acceso al configurador web. En versiones anteriores era fácil meter la pata y había una opción en la consola

Si tildo la siguiente opción  DNS rebind (Adjunto Imagen) me envía a la pagina del login de Pfsense. Puede ser que el problema se me presenta con el webconfigurator.

Lo que pasa es que en la 2.0 si el nombre puesto en System - General Setup no coincide con el del servicio DNS entonces es cuando aparece el aviso.

Tengo una 2.0.1 con VirtualBox para pruebas y he hecho el siguiente test.

Añado a C:\WINDOWS\system32\drivers\etc\hosts la siguiente línea:

192.168.1.1 pfSense.localdomain

Voy a pfSense.localdomain con Firefox aceptando la excepción de seguridad.

Entro normalmente…

Cambio en C:\WINDOWS\system32\drivers\etc\hosts la anterior línea:

192.168.1.1 prueba

Voy a prueba con Firefox aceptando la excepción de seguridad.

Error DNS rebind

He empleado el archivo hosts porque pasa por delante de cualquier resolución DNS. Fíjate que es muy fácil "contaminar" una resolución de nombres, de ahí la seguridad que trae la 2.0 en este aspecto…

Saludos,

Josep Pujadas