VIP no funciona

firstalert

Hola, antes que nada un cordial saludo, se que la tarea de mantener el foro no es nada facil, y mas a esos usuarios que se esmeran por responder y tratar de ayudar a los demas.
hasta hace 3 dias tenia un fortinet, todo era de maravillas hasta que se daño… opte por este firewall que me parecio una buena opcion. pero despues de la instalacion y todo lo demas surgio el gran detalle: la principal tarea del fortiner era crear 4 virtual ip y direccionarlas hacia sus respectivas direcciones privadas ( las vip son 4 direcciones ips publicas) he leido casi todo el foro, he leido en internet, google, youtube, bueno en fin no me dio mas que preguntar.

como hago para que me funcione esto nuevamente? ya segui todos los pasos de manuales, google, youtube.

explico lo que he hecho.
supongamos que tengo 3 ips publicas para no hacerlo tan largo
200.124.25.200
200.124.25.300
200.124.25.400

la ip 200.124.25.200 la coloque como principal al firewall, es decir con esta ip es que navego antes del firewall solo tengo el modem de mi isp.

la ip 200.124.25.300 necesito que apunte al servidor 192.168.1.9
la ip 200.124.25.400 necesito que apunte al servidor 192.168.1.6

entonces, cree los virtual ip respectivos segun guias, manuales, etc.. firewall-->virtual IPS.
en este punto quiero mencionar que los probe con todas las opciones IP Alias CARP Proxy ARP Other.
despues de esto cree el nat... firewall-->nat-->1:1
de esta manera : WAN 200.124.25.2300 192.168.1.9 * ticket donde la interfase es wan, el source es la ip publica (external ip) el destion es la ip privada del servidor (internal ip) donde dice destination no coloque nada.

luego a esto cree la regla firewall-->rule->wan
IPv4 TCP/UDP * 80 (HTTP) 192.168.1.9 80 (HTTP) * none ticket

donde le dije que todo lo que lelgara por el puerto 80 con destino a la ip 192.168.1.9 lo aceptara..

en teoria asi deberia ser... pero no funciona.

alguien podria ayudarme ya que estamos urgidos con esto por favor.
no tenemos vlan, ni subnet, ni nada por el estilo. solo quiero que por sus ips publicas se vaya a los servidores..

saludos y gracias por su apoyo

firstalert

mil disculpa no comente que la version que tengo es la ultima 2.1.3
2.1.3-RELEASE (i386)
built on Thu May 01 15:52:17 EDT 2014
FreeBSD 8.3-RELEASE-p16

You are on the latest version.

ptt

Asegúrate de estar utilizando el tipo de VIP de acuerdo a lo que intentas realizar –> https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses

https://doc.pfsense.org/index.php/1:1_NAT

Verificaste que esté llegando trafico a la WAN/VIP ? (función captura de paquetes: "Diagnostics --> Packet Capture")

firstalert

en realidad lo unico que quiero es que funcione tal cual 1:1 en los tipos de ]VIPS el ip alias es el mas optimo, pero igual no funciona. como dije antes los probe todos… dejame chequear lo que dices de los paquetes a ver

ptt

Como referencia adjunto algunas capturas de pantalla de una prueba rápida que realicé:

Crear la IP Virtual en la WAN (pf_FW_VIP_Edit.png)
Crear/Editar el NAT 1:1 (pf_FW_1to1_NAT_Edit.png / pf_FW_1to1_NAT.png)
Permitir tráfico mediante regla de FW en la WAN hacia el host en la LAN (pf_FW_WAN_Rule_1to1_NAT.png)

Chequear mediante http://www.yougetsignal.com/tools/open-ports/ que el puerto (443) esté abierto

Verificar, en el pfSense, que el tráfico llegue al host de la LAN, a través del NAT 1:1/VIP (Diagnostics –> States)

pf_FW_VIP_Edit.png_thumb

pf_FW_1to1_NAT_Edit.png_thumb

pf_FW_1to1_NAT.png_thumb

pf_FW_WAN_Rule_1to1_NAT.png_thumb

firstalert

gracias por tu tiempo, es exactamente lo que hago y no funciona, ahora pregunto por solo curiosidad que tiene que ver el puerto 443?
de igual no he estado en la ofi y no he podido probar lo de los paquetes..

ptt

En tu caso utilizas el puerto 80, en el mío el 443 ;)

VIP 1.1.1.242 en la WAN 1.1.1.242 accediendo/1:1NAT al puerto HTTPS de un host en la LAN 172.20.203.242

En tu regla de FW de la WAN tienes/probaste Source: "ANY" y Port "ANY"

Adjunta capturas de pantalla de lo que tienes configurado, generalmente es mas fácil "ver" los errores en las capturas de pantalla ;)

firstalert

hola! nada que he podido :( ya he intentado de todo. ahora la redirecciones de puertos con la ip publica que le asigno a la WAN si funcionan perfectamente.. he hecho tal cual lo que dicen y no funcionan

firstalert

coloco mis captura de pantalla de la configuracion, a ver si a alguien se le ocurre algo mas. cabe destacar que tambien tengo seleccionado la opcion en systema -> advance -> firewall nat -> Enable NAT Reflection for 1:1 NAT.
esto me esta volviendo loco…. por favor ayuda...

nat11.png_thumb

virtualip.png_thumb

rule.png_thumb

firstalert

como referencia este video al que segui todos los pasos

bellera

¿Están tus IPs públicas respondiendo desde otro enlace? Por ejemplo, ¿contestan a ping?

Lo primero a saber es si tus IPs públicas están presentes en internet o no.

ptt

^
Exacto ;) verificar que el tráfico "llegue a la VIP"

Es lo que le había indicado verificar en mi primer post en el hilo (no mediante Ping/ICMP, pero creo que de una manera valida también):D

https://forum.pfsense.org/index.php?topic=77880.msg424576#msg424576

firstalert

beno les comento que es algo extraño, porque desde afuera no le puedo hacer ping ni a la direccion ip publica fija de la wan, hace 30min trate de abrir la ip publica que tengo en la VIP desde mi celular y funciono, sin yo mover nada, trate desde el navegador de la pc y no abre, luego fui al cel y abri otra vez la pagina y ya no abria, en este mismo instante acabo de volverla a abrir desde mi cel. alguna teoria? como puedo habilitar que responda a los ping, desde la red interna la VIP responde al ping

ptt

Regla de FW en la WAN, permitiendo ICMP a la IP de la WAN o de la VIP, dependiendo lo que necesites/quieras probar ;)
Si no me equivoco, si utilizas "WAN net" en lugar de "WAN address" estarías incluyendo las VIPs (que se encuentran en el segmento de red de la WAN).

![pf_FW_Allow_Ping_To WAN.png](/public/imported_attachments/1/pf_FW_Allow_Ping_To WAN.png)
![pf_FW_Allow_Ping_To WAN.png_thumb](/public/imported_attachments/1/pf_FW_Allow_Ping_To WAN.png_thumb)

Ping_OK.png_thumb

firstalert

en efecto, me responde la ip publica que tengo en la wan pero no responden a las VIP, que deberia verificar?

ptt

Verifica, en la tabla, que el "Tipo" de VIP, que estás utilizando, responde a ICMP

https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses#VIP_Features_Table

firstalert

esto usanso alias, por la tabla esta soporta icmp… ya me estoy volviendo loco, si te doy acceso tu podrias verificar?

ptt

@firstalert:

esto usanso alias, por la tabla esta soporta icmp…

Además de que el Tipo de VIP Responda a los ICMP, debes crear la regla permitiendo "PING" a la VIP. Has creado dicha regla ?

Verificaste que el tráfico llegue a la VIP (capturando paquetes en la interface) ?

Otra cosa que puedes probar, es borrar/eliminar las VIPs, y luego cambias la IP de la WAN por una de las IPs que utilizabas en las VIPs (que se supone tu ISP te asignó) y si "pierdes la salida a internet" eso indica que hay un problema con las IPs "adicionales" que te entrega tu ISP.

@firstalert:

si te doy acceso tu podrias verificar?

Lamentablemente No, primero por cuestiones de horario, y luego porque no me dedico a prestar ese tipo de servicio.

Si nos indicas de que País / Zona eres, es posible que alguno de los compañeros, que esté en tu Zona/País, y se dedica a prestar ese tipo de servicios te pueda ayudar.

firstalert

si, he creado la regla correspondiente, he verificado las ips publicas, anteriormente todo funcionaba bien con el fortinet….. ahora segun los calculos de la subnet para mi seria 29 esa es la que coloco cuando asigno la ip fija y todo va ok, ahora cuando creo el VIP me cambia la mascara a 32, tendra algo que ver esto?

firstalert

que alguien confirme que las vip funcionan en la versión 2.1.3, en el foro de ingles muchas personas se quejan de lo mismo y no han tenido otra solución mas que regresar a las versiones anteriores.