Ayuda! Problemas con NAT puerto HTTP en Red lan

bellera

Perdona… Efectivamente ahora veo en una de las imágenes que tu pfSense está en la .230

Si Disable NAT Reflection no te funcionó deberías usar Services - DNS Forwarder - Host Overrides para los equipos de tu dominio, a fin de que se resuelvan internamente.

¿Probaste a acceder por IP? Si accedes por IP el problema está en la resolución DNS. Tienes que asegurarte que pfSense opere como DNS interno de tu LAN y añadir tu nombre en Internet del servidor en Services - DNS Forwarder - Host Overrides

pfsensePAM

Por IP ingreso sin ningun problema. En cuanto a los dns en Pfsense 2.0 los tengo como se muestra en la imagen. Ademas el Pfsense me otorga por dhcp las ip 192.168.25.x a mi LAN.
Cual opcion tengo q setear en el DNS??

Saludos y muchas gracias por la ayuda.

dns.png_thumb

bellera

Imagen de split DNS…

services_dns_forwarder_host_overrides.jpg_thumb

pfsensePAM

Muchas Gracias Josep por la ayuda. Esta Opcion de Host Overrides tambien la probe y tampoco me funcione como que se queda cargando y me redirige al https.
Mi servidor web es un debian y me queda la duda si tengo que agregar alguna info al archivo host.

Saludos..

bellera

Tienes algo incorrecto en la instalación.

Split DNS tiene que ir. Es lo más recomendable para resolver nombres de Internet con IPs internas.

En el equipo desde donde testeas tienes que tener como DNS la LAN de pfSense. Esta es la configuración por defecto cuando se emplea DHCP y está activado el DNS Forwarder.

Seguramente tu equipo de pruebas está resolviendo de otra forma.

A parte de esto tienes algún problema más porque no es normal que si pides http te cambie automáticamente de https. Eso puede ser la configuración del servidor web que tienes.

pfsensePAM

Muchas gracias Josep. Voy a seguir revisando porque es raro que siempre me envie a Https.

saludos..

pfsensePAM

Puede ser que la regla anti-lockout sea la que me redirige a Https.
Cual es su funcionalidad?
Saludos..

![anti lockout.png](/public/imported_attachments/1/anti lockout.png)
![anti lockout.png_thumb](/public/imported_attachments/1/anti lockout.png_thumb)

pfsensePAM

Si tildo la siguiente opción DNS rebind (Adjunto Imagen) me envía a la pagina del login de Pfsense. Puede ser que el problema se me presenta con el webconfigurator.

Adjunto la imagen con el error que me sale cuando ingreso a mi port forward.

Saludos…

dnsc.jpg_thumb

error.jpg_thumb

bellera

Puede ser que la regla anti-lockout sea la que me redirige a Https.
¿Cuál es su funcionalidad?

No. Es una regla de paso. Las reglas no redirigen. Dejan o no dejan paso.

Está en primer lugar para garantizar el acceso al configurador web. En versiones anteriores era fácil meter la pata y había una opción en la consola

Si tildo la siguiente opción DNS rebind (Adjunto Imagen) me envía a la pagina del login de Pfsense. Puede ser que el problema se me presenta con el webconfigurator.

Lo que pasa es que en la 2.0 si el nombre puesto en System - General Setup no coincide con el del servicio DNS entonces es cuando aparece el aviso.

Tengo una 2.0.1 con VirtualBox para pruebas y he hecho el siguiente test.

Añado a C:\WINDOWS\system32\drivers\etc\hosts la siguiente línea:

192.168.1.1 pfSense.localdomain

Voy a pfSense.localdomain con Firefox aceptando la excepción de seguridad.

Entro normalmente…

Cambio en C:\WINDOWS\system32\drivers\etc\hosts la anterior línea:

192.168.1.1 prueba

Voy a prueba con Firefox aceptando la excepción de seguridad.

Error DNS rebind

He empleado el archivo hosts porque pasa por delante de cualquier resolución DNS. Fíjate que es muy fácil "contaminar" una resolución de nombres, de ahí la seguridad que trae la 2.0 en este aspecto…

Saludos,

Josep Pujadas

pfsensePAM

Resulta que al activar en el DNS fordwared las opciones:
Register DHCP Leases
Register DHCP Static

Si yo ingreso en mi navegador, lo que cargue en el campo host ingreso correctamente, siempre y cuando no sea www.midominio.com. Por ejemplo:

si yo en el campo host tengo midominio.com y luego en el browser ingreso midominio.com ingreso correctamente.
si yo en el campo host tengo www.midominio.com y luego en el browser ingreso www.midominio.com error porque me redirige a
https://www.midominio.com.

Puede ser que el problema es que el pfsense esta usando el puerto 80.

Saludos…

Saludos...

![dns fordware.png](/public/imported_attachments/1/dns fordware.png)
![dns fordware.png_thumb](/public/imported_attachments/1/dns fordware.png_thumb)

pfsensePAM

Otra cosa que observe es que si desde una de Pc de LAN, ingreso en el browser:
ip_publica:80 me envia a la pantalla de Login Pfsense.

En cambio si realizo esto desde fuera de mi LAN ingreso correctamente a mi Server WEB.

Tengo pfsense 2.0.

Saludos…

bellera

pfsensePAM,

Perdona pero ha llegado un punto en que no entiendo nada del problema que tienes.

Si diste toda la información es una instalación de lo más sencilla. Los NATs y sus reglas (cuando los posteastes) eran correctos.

La resolución DNS ya se solventó con split DNS y con la aclaración del por qué del rebind.

Si quieres, envíame tu config.xml a jpujades en gmail punto com. Lo cargo en mi pfSense virtual de pruebas y te digo si hay algo que pueda provocar las confusiones.

Saludos,

Josep Pujadas

bellera

Ojo con los nombres usados para host y domain tanto en System - General Setup como en DNS Forwarder - Host Overrides (Split DNS).

Deben cumplir normas según el formato maquina.dominio.extension o maquina.subdominio.dominio.extension

http://es.wikipedia.org/wiki/Domain_Name_System#Entendiendo_las_partes_de_un_nombre_de_dominio

Tal como hemos comentado en privado creo que debes revisar tus nombres.

Y añadir a la LAN de pfSense también en la lista DNS Forwarder - Host Overrides (Split DNS), con el nombre de host y domain acorde con System - General Setup. Igual no es necesario pero no está de más. Siempre meto a todos los servidores en esta lista.

Saludos,

Josep Pujadas