VIP no funciona
-
Como referencia adjunto algunas capturas de pantalla de una prueba rápida que realicé:
-
Crear la IP Virtual en la WAN (pf_FW_VIP_Edit.png)
-
Crear/Editar el NAT 1:1 (pf_FW_1to1_NAT_Edit.png / pf_FW_1to1_NAT.png)
-
Permitir tráfico mediante regla de FW en la WAN hacia el host en la LAN (pf_FW_WAN_Rule_1to1_NAT.png)
Chequear mediante http://www.yougetsignal.com/tools/open-ports/ que el puerto (443) esté abierto
Verificar, en el pfSense, que el tráfico llegue al host de la LAN, a través del NAT 1:1/VIP (Diagnostics –> States)
-
-
gracias por tu tiempo, es exactamente lo que hago y no funciona, ahora pregunto por solo curiosidad que tiene que ver el puerto 443?
de igual no he estado en la ofi y no he podido probar lo de los paquetes.. -
En tu caso utilizas el puerto 80, en el mío el 443 ;)
VIP 1.1.1.242 en la WAN 1.1.1.242 accediendo/1:1NAT al puerto HTTPS de un host en la LAN 172.20.203.242
En tu regla de FW de la WAN tienes/probaste Source: "ANY" y Port "ANY"
Adjunta capturas de pantalla de lo que tienes configurado, generalmente es mas fácil "ver" los errores en las capturas de pantalla ;)
-
hola! nada que he podido :( ya he intentado de todo. ahora la redirecciones de puertos con la ip publica que le asigno a la WAN si funcionan perfectamente.. he hecho tal cual lo que dicen y no funcionan
-
coloco mis captura de pantalla de la configuracion, a ver si a alguien se le ocurre algo mas. cabe destacar que tambien tengo seleccionado la opcion en systema -> advance -> firewall nat -> Enable NAT Reflection for 1:1 NAT.
esto me esta volviendo loco…. por favor ayuda...
-
como referencia este video al que segui todos los pasos
-
¿Están tus IPs públicas respondiendo desde otro enlace? Por ejemplo, ¿contestan a ping?
Lo primero a saber es si tus IPs públicas están presentes en internet o no.
-
^
Exacto ;) verificar que el tráfico "llegue a la VIP"Es lo que le había indicado verificar en mi primer post en el hilo (no mediante Ping/ICMP, pero creo que de una manera valida también):D
https://forum.pfsense.org/index.php?topic=77880.msg424576#msg424576
-
beno les comento que es algo extraño, porque desde afuera no le puedo hacer ping ni a la direccion ip publica fija de la wan, hace 30min trate de abrir la ip publica que tengo en la VIP desde mi celular y funciono, sin yo mover nada, trate desde el navegador de la pc y no abre, luego fui al cel y abri otra vez la pagina y ya no abria, en este mismo instante acabo de volverla a abrir desde mi cel. alguna teoria? como puedo habilitar que responda a los ping, desde la red interna la VIP responde al ping
-
Regla de FW en la WAN, permitiendo ICMP a la IP de la WAN o de la VIP, dependiendo lo que necesites/quieras probar ;)
Si no me equivoco, si utilizas "WAN net" en lugar de "WAN address" estarías incluyendo las VIPs (que se encuentran en el segmento de red de la WAN).![pf_FW_Allow_Ping_To WAN.png](/public/imported_attachments/1/pf_FW_Allow_Ping_To WAN.png)
![pf_FW_Allow_Ping_To WAN.png_thumb](/public/imported_attachments/1/pf_FW_Allow_Ping_To WAN.png_thumb)
-
en efecto, me responde la ip publica que tengo en la wan pero no responden a las VIP, que deberia verificar?
-
Verifica, en la tabla, que el "Tipo" de VIP, que estás utilizando, responde a ICMP
https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses#VIP_Features_Table
-
esto usanso alias, por la tabla esta soporta icmp… ya me estoy volviendo loco, si te doy acceso tu podrias verificar?
-
esto usanso alias, por la tabla esta soporta icmp…
Además de que el Tipo de VIP Responda a los ICMP, debes crear la regla permitiendo "PING" a la VIP. Has creado dicha regla ?
Verificaste que el tráfico llegue a la VIP (capturando paquetes en la interface) ?
Otra cosa que puedes probar, es borrar/eliminar las VIPs, y luego cambias la IP de la WAN por una de las IPs que utilizabas en las VIPs (que se supone tu ISP te asignó) y si "pierdes la salida a internet" eso indica que hay un problema con las IPs "adicionales" que te entrega tu ISP.
si te doy acceso tu podrias verificar?
Lamentablemente No, primero por cuestiones de horario, y luego porque no me dedico a prestar ese tipo de servicio.
Si nos indicas de que País / Zona eres, es posible que alguno de los compañeros, que esté en tu Zona/País, y se dedica a prestar ese tipo de servicios te pueda ayudar.
-
si, he creado la regla correspondiente, he verificado las ips publicas, anteriormente todo funcionaba bien con el fortinet….. ahora segun los calculos de la subnet para mi seria 29 esa es la que coloco cuando asigno la ip fija y todo va ok, ahora cuando creo el VIP me cambia la mascara a 32, tendra algo que ver esto?
-
que alguien confirme que las vip funcionan en la versión 2.1.3, en el foro de ingles muchas personas se quejan de lo mismo y no han tenido otra solución mas que regresar a las versiones anteriores.
-
Por favor, Attachments and other options + Attach imágenes de lo que tienes hecho.
enlaces de los posts en inglés en que hablan del problema.
Documentemos, documentemos, documentemos y quizás ayudemos… (podamos ayudar).
-
ok, voy a tratar de ser lo mas explicito posible.
tengo 3 ips publicas certificadas por mi ISP
de la 203 a la 205
200.XXX.XXX.203
200.XXX.XXX.204
200.XXX.XXX.205el gateway es 200.XXX.XXX.201
comienzo: escogo cualquiera de las ips en este caso la 203 para asignarla como principal al pfsense, coloque la interfaz wan como ip static y como subnet 29 en gateway cree el 200.XXX.XXX.201, luego en system-> routing cree 0.0.0.0/32 WANGW - 200.xxx.xxx.201 WAN, para poder tener internet, hasta ahora todo bien, tengo internet en la red local conectada a la LAN, en este punto menciono que si cambio la 203 por la 204 igual funciona o la 205 ya las he probado las 3 y si las asigno al pfsense el mismo las obtiene y navego sin problemas.
ahora bien, necesito asignar las 2 ips restantes para que mediante ellas se puedan acceder a servicio, uno que usa el puerto 80 en un servidor local y otro que usa el puerto 9000 en otro servidor pero dentro de la misma LAN el diagrama seria mas o menos asi:
200.XXX.XXX.204 -> pfsense -> 192.168.1.9:80
200.XXX.XXX.205-> pfsense -> 192.168.1.11:9000para tratar de lograr esto ( que anteriormente me parecia tan sencillo ) realice los siguientes pasos:
1: cree una VIP con la ip 200.XXX.XXX.205 con la propiedad de ALIAS ( sub net 29 que es la misma que le coloco a la WAN)
2: cree la regla nat 1:1 donde seleciono que todo lo proveniente de la ip 200.XXX.XXX.205 lo lleve a la 192.168.1.11
3 cree la regla del firewall donde acepto cualquier conexion entrante a la ip 192.168.1.11tal cual lo dicen las guias, manuales, google, incluso varios compañeros del foro. pero no sucede nada.
leyendo en el foro y otras paginas de google, han descrito que hay que activar la opcion Enable NAT Reflection for 1:1 NAT dentro de system->advance->firewall-nat, la cual ya tengo activada.
tambien tengo activada la opcion de NAT Reflection mode for port forwards para poder mantenerme a flote usando la ip que funciona con la WAN y redireccionar las peticiones a los servidores usando la misma ip 200.XXX.XXX.203 con direferente puertos, esto es lo que me ha ayudado por ahora.he cambiado el tipo de vip varias veces a ver si esto solucionaba el problema, he colocado puertos especificos, he colocado any en puertos, mas sin embargo no he tenido exito, ayer leyendo en el foro de ingles encontre que varias personas podian hacer funcionar sus VIP con las versiones anteriores y ahora con la version nueva no les funciona aqui coloco los enlaces.
https://forum.pfsense.org/index.php?topic=75700.0
https://forum.pfsense.org/index.php?topic=73328.0ahora bien he notado que en uno de los post la persona estaba haciendo la regla mal.
lo cierto del caso es que ya he verificado todo lo que me han dicho y sigue sin funcionar, cambie el equipo donde estaba instalado el pfsense pensando que podia ser cosa de hardware pero esto no resolvio el problema. reinicie el equipo y nada.
es importante señalar que desde la red hago ping a la direccion 200.XX.XX.205 teniendo la ip configurada en alias y me da respuesta.por otro lado a nivel de hardware de red esta asi.
modemISP->switch4puertos->pfsense->lan
en el switch de 4 puerto tengo uno de los servidores, y el pfsense, ahora no se si esto sera lo que esta dando el problema, la cuestion esta es que ese servidor no lo puedo quitar de la internet y por eso no me he atrevido a colocar directamente el pfsense al modem del isp, ahora si esto pudiese ser el problema obvio que lo haria en un santiamen.gracias a ptt y a bellera por su colaboracion hacen una gran diferencia en esta comunidad…
-
comienzo: escogo cualquiera de las ips en este caso la 203 para asignarla como principal al pfsense, coloque la interfaz wan como ip static y como subnet 29 en gateway cree el 200.XXX.XXX.201, luego en system-> routing cree 0.0.0.0/32 WANGW - 200.xxx.xxx.201 WAN, para poder tener internet, hasta ahora todo bien, tengo internet en la red local conectada a la LAN, en este punto menciono que si cambio la 203 por la 204 igual funciona o la 205 ya las he probado las 3 y si las asigno al pfsense el mismo las obtiene y navego sin problemas.
No necesitas agregar/crear ninguna Ruta de ese tipo para tener acceso/salida a internet, con el solo hecho de definir el GW para la WAN es suficiente (el pfSense crea automáticamente la ruta para salir a internet).
Creo que lo mejor que puedes hacer es un "Factory Defaults" y comenzar de nuevo…. ya que es muy posible que estés "arrastrando" algún error anterior.
-
no realice el factory default, pero instale todo desde cero en otro equipo y pasa exactamente lo mismo.. no hace nada :( voy a ver si consigo instalar una version vieja a ver que pasa…