Imprimir desde la wan a una impresora en la lan
-
Perdón, lo iba pensando a medida que escribía XD. Olvida la parte del port forwarding
Si estoy entendiendo bien tu configuración, sólo deberías agregar la ruta estática en los dispositivos, no en el pfSense. En pfSense sólo deberías permitir el tráfico correspondiente sobre la WAN, desde la WAN subnet hacia la LAN subnet.
Como agregar las rutas depende el sistema operativo. En Windows es con el comando "route -p add"
-
con la regla en la wan no logro ver la lan de pfsense pongo captura de mi router donde permite realizar routing static si es posible me guias como deberia ir si la ip de la lan del router es 10.1.1.12 –---------> imprimir a la ip lan pfsense 10.1.2.10 como deberia ir esto
atento a tu sugerencia y perdon por la falta de conocimiento en este tema.Ver Imagen: http://s2.subirimagenes.com/otros/previo/thump_8712130route.jpg
-
A parte de que no se ve la imagen (demasiado pequeña), el enrutador no puede hacer nada, a menos que sea capaz de "rebotar" el tráfico.
Como te dijo georgeman, la ruta la tiene que tener el equipo que desea imprimir, pues si no la tiene todo su tráfico se va por la puerta por defecto que tenga. Que supongo debe ser el enrutador (al que le suponemos incapacidad de redirigir el tráfico hacia adentro).
-
al parecer estoy haciendo algo mal es lo que probe desde el equipo que quiere imprimir
route add -p 10.1.2.0 mask 255.255.255.0 10.1.1.211 pero no logro tener acceso al equipo y a sus recursos compartidos
donde 10.1.2.0 seria el rango de la lan (pfsense) y 10.1.1.211 seria el gateway la wan de pfsense
aguardo mas sugerencias o correcciones a lo que hice .
-
Da permisos totales en WAN para el tráfico procedente del equipo hacia la LAN de pfSense. Deberías poder pinguear los equipos.
Restringe después, una vez comprobado el acceso.
-
efectivamente si puedo hacer ping desde desde el equipo que quiere imprimir (lan router) hacia el equipo que comparte la impresora (lan pfsense) al igual que acceder a travez del navegador a sus recursos compartidos, pero me indicas que lo bloquee nuevamente luego hecha la prueba debido a que es un riesgo de seguridad debo interpretarlo asi por que con esto si obtendria lo que necesito.
-
La regla de oro de la seguridad es permitir sólo lo necesario.
Si permitiendo todo funcionas, debes decidir si eso es seguro en tu instalación. O entrerternerte a ajustar bien TCP/UDP para el uso con compartición de archivos/impresoras Windows (también llamada Samba o CIFS).
La regla que posteaste para TCP/UDP 137,138,139,445 debería ir.
Antes de hacer nada mira en Diagnostics - States cuáles son las conexiones que se hacen. Eso te dirá si la regla es correcta.
-
entiendo lo que me dices en realidad lo que hice fue crear un alias del host 10.1.1.12 (pc que quiere imprimir) al que le di permiso
para la lan net de pfsense lo que veo en diagnostic es esto tcp 10.1.1.211:80 <- 10.1.2.10:54186 ESTABLISHED:ESTABLISHED
tengo una interpretacion de esto pero no se si sea la correcta aguardo tu comentario me indicas tambien que debo utilizar la regla que me aconsejaste crear al inicio TCP/UDP 137,138,139,445 esta deberia ir bueno si la tengo habilitada. -
tcp 10.1.1.211:80 <- 10.1.2.10:54186 ESTABLISHED:ESTABLISHED
Eso dice que la IP 10.1.2.10 tiene el puerto dinámico 54186 conectado al puerto 80 de la IP 10.1.1.211
Como se trata de una conexión hacia TCP 80 se supone que en 10.1.1.211 tienes un servicio http (TCP 80).
¿Acaso tu servicio de impresión va por TCP 80?
-
ahora si me agarraste haber si te comprendo inicialmente ya tengo las siguientes alias
ahora la regla seria algo asi la verdad no la tengo clara
al implementar esta regla ya no puedo hacer ping del 10.1.1.12 –-> 10.1.2.10 despues de borrar la regla que me indicaste de dejar pasar todo desde la wan a la lan (pfense)
aguardo comentarios muy agradecido por su ayuda.
-
La regla parece correcta para acceder a los servicios de compartición de archivos/impresoras tipo Windows (Samba, CIFS).
Pero insisto en que con la regla que permite todo tienes que mirar los estados (states) de acceso de un equipo a otro.
También puedes usar el comando netstat en cada máquina.
Cuando se tiene una situación así es el procedimiento que hay que seguir. Dejar pasar todo y evaluar qué conexiones se están haciendo.
Por supuesto, tendrás que lanzar alguna impresión (o varias) para asegurarte de qué hacen los equipos.
Fíjate que en States puedes aplicar filtros. Conviene que filtres por la IP de destino, por ejemplo.
