VIP no funciona
-
en efecto, me responde la ip publica que tengo en la wan pero no responden a las VIP, que deberia verificar?
-
Verifica, en la tabla, que el "Tipo" de VIP, que estás utilizando, responde a ICMP
https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses#VIP_Features_Table
-
esto usanso alias, por la tabla esta soporta icmp… ya me estoy volviendo loco, si te doy acceso tu podrias verificar?
-
esto usanso alias, por la tabla esta soporta icmp…
Además de que el Tipo de VIP Responda a los ICMP, debes crear la regla permitiendo "PING" a la VIP. Has creado dicha regla ?
Verificaste que el tráfico llegue a la VIP (capturando paquetes en la interface) ?
Otra cosa que puedes probar, es borrar/eliminar las VIPs, y luego cambias la IP de la WAN por una de las IPs que utilizabas en las VIPs (que se supone tu ISP te asignó) y si "pierdes la salida a internet" eso indica que hay un problema con las IPs "adicionales" que te entrega tu ISP.
si te doy acceso tu podrias verificar?
Lamentablemente No, primero por cuestiones de horario, y luego porque no me dedico a prestar ese tipo de servicio.
Si nos indicas de que País / Zona eres, es posible que alguno de los compañeros, que esté en tu Zona/País, y se dedica a prestar ese tipo de servicios te pueda ayudar.
-
si, he creado la regla correspondiente, he verificado las ips publicas, anteriormente todo funcionaba bien con el fortinet….. ahora segun los calculos de la subnet para mi seria 29 esa es la que coloco cuando asigno la ip fija y todo va ok, ahora cuando creo el VIP me cambia la mascara a 32, tendra algo que ver esto?
-
que alguien confirme que las vip funcionan en la versión 2.1.3, en el foro de ingles muchas personas se quejan de lo mismo y no han tenido otra solución mas que regresar a las versiones anteriores.
-
Por favor, Attachments and other options + Attach imágenes de lo que tienes hecho.
enlaces de los posts en inglés en que hablan del problema.
Documentemos, documentemos, documentemos y quizás ayudemos… (podamos ayudar).
-
ok, voy a tratar de ser lo mas explicito posible.
tengo 3 ips publicas certificadas por mi ISP
de la 203 a la 205
200.XXX.XXX.203
200.XXX.XXX.204
200.XXX.XXX.205el gateway es 200.XXX.XXX.201
comienzo: escogo cualquiera de las ips en este caso la 203 para asignarla como principal al pfsense, coloque la interfaz wan como ip static y como subnet 29 en gateway cree el 200.XXX.XXX.201, luego en system-> routing cree 0.0.0.0/32 WANGW - 200.xxx.xxx.201 WAN, para poder tener internet, hasta ahora todo bien, tengo internet en la red local conectada a la LAN, en este punto menciono que si cambio la 203 por la 204 igual funciona o la 205 ya las he probado las 3 y si las asigno al pfsense el mismo las obtiene y navego sin problemas.
ahora bien, necesito asignar las 2 ips restantes para que mediante ellas se puedan acceder a servicio, uno que usa el puerto 80 en un servidor local y otro que usa el puerto 9000 en otro servidor pero dentro de la misma LAN el diagrama seria mas o menos asi:
200.XXX.XXX.204 -> pfsense -> 192.168.1.9:80
200.XXX.XXX.205-> pfsense -> 192.168.1.11:9000para tratar de lograr esto ( que anteriormente me parecia tan sencillo ) realice los siguientes pasos:
1: cree una VIP con la ip 200.XXX.XXX.205 con la propiedad de ALIAS ( sub net 29 que es la misma que le coloco a la WAN)
2: cree la regla nat 1:1 donde seleciono que todo lo proveniente de la ip 200.XXX.XXX.205 lo lleve a la 192.168.1.11
3 cree la regla del firewall donde acepto cualquier conexion entrante a la ip 192.168.1.11tal cual lo dicen las guias, manuales, google, incluso varios compañeros del foro. pero no sucede nada.
leyendo en el foro y otras paginas de google, han descrito que hay que activar la opcion Enable NAT Reflection for 1:1 NAT dentro de system->advance->firewall-nat, la cual ya tengo activada.
tambien tengo activada la opcion de NAT Reflection mode for port forwards para poder mantenerme a flote usando la ip que funciona con la WAN y redireccionar las peticiones a los servidores usando la misma ip 200.XXX.XXX.203 con direferente puertos, esto es lo que me ha ayudado por ahora.he cambiado el tipo de vip varias veces a ver si esto solucionaba el problema, he colocado puertos especificos, he colocado any en puertos, mas sin embargo no he tenido exito, ayer leyendo en el foro de ingles encontre que varias personas podian hacer funcionar sus VIP con las versiones anteriores y ahora con la version nueva no les funciona aqui coloco los enlaces.
https://forum.pfsense.org/index.php?topic=75700.0
https://forum.pfsense.org/index.php?topic=73328.0ahora bien he notado que en uno de los post la persona estaba haciendo la regla mal.
lo cierto del caso es que ya he verificado todo lo que me han dicho y sigue sin funcionar, cambie el equipo donde estaba instalado el pfsense pensando que podia ser cosa de hardware pero esto no resolvio el problema. reinicie el equipo y nada.
es importante señalar que desde la red hago ping a la direccion 200.XX.XX.205 teniendo la ip configurada en alias y me da respuesta.por otro lado a nivel de hardware de red esta asi.
modemISP->switch4puertos->pfsense->lan
en el switch de 4 puerto tengo uno de los servidores, y el pfsense, ahora no se si esto sera lo que esta dando el problema, la cuestion esta es que ese servidor no lo puedo quitar de la internet y por eso no me he atrevido a colocar directamente el pfsense al modem del isp, ahora si esto pudiese ser el problema obvio que lo haria en un santiamen.gracias a ptt y a bellera por su colaboracion hacen una gran diferencia en esta comunidad…
-
comienzo: escogo cualquiera de las ips en este caso la 203 para asignarla como principal al pfsense, coloque la interfaz wan como ip static y como subnet 29 en gateway cree el 200.XXX.XXX.201, luego en system-> routing cree 0.0.0.0/32 WANGW - 200.xxx.xxx.201 WAN, para poder tener internet, hasta ahora todo bien, tengo internet en la red local conectada a la LAN, en este punto menciono que si cambio la 203 por la 204 igual funciona o la 205 ya las he probado las 3 y si las asigno al pfsense el mismo las obtiene y navego sin problemas.
No necesitas agregar/crear ninguna Ruta de ese tipo para tener acceso/salida a internet, con el solo hecho de definir el GW para la WAN es suficiente (el pfSense crea automáticamente la ruta para salir a internet).
Creo que lo mejor que puedes hacer es un "Factory Defaults" y comenzar de nuevo…. ya que es muy posible que estés "arrastrando" algún error anterior.
-
no realice el factory default, pero instale todo desde cero en otro equipo y pasa exactamente lo mismo.. no hace nada :( voy a ver si consigo instalar una version vieja a ver que pasa…
-
Las pruebas, de las que adjunté capturas de pantalla en el Post#4, las realicé con la versión:
2.1.3-RELEASE (amd64)
built on Thu May 01 15:52:13 EDT 2014Al reinstalar, supongo No creaste la "Ruta" que mencionas haber creado en el post anterior ;)
-
no, no la cree, solo asigne la ip publica y listo. prosegui a realizar la configuracion de la vip tal cual ya hemos visto, y sigue sin funcionar…
-
Siempre ir por partes…
Como te dijo @ptt no hay que poner rutas para interfases de pfSense. NUNCA ponerlas.
Esto es, configuras tu WAN y le indicas la puerta que te dió el proveedor. Nada más.
Después define los alias de IP para tu WAN con la máscara de tu WAN. Esto último es especialmente importante, pues todas las IPs tienen que estar en el rango que te dió tu ISP, a fin de que se vean entre sí, tengan la misma puerta (la de tu ISP)...
Hecho esto con Diagnostics: Execute command tendrías que ver algo como:
$ ifconfig em1 em1: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500 options=9b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum>ether 08:00:27:57:b2:9f inet 192.168.125.210 netmask 0xffffff00 broadcast 192.168.125.255 inet6 fe80::a00:27ff:fe57:b29f%em1 prefixlen 64 scopeid 0x2 inet 192.168.125.199 netmask 0xffffff00 broadcast 192.168.125.255 inet 192.168.125.198 netmask 0xffffff00 broadcast 192.168.125.255 inet 192.168.125.197 netmask 0xffffff00 broadcast 192.168.125.255 nd6 options=3 <performnud,accept_rtadv>media: Ethernet autoselect (1000baseT <full-duplex>) status: active</full-duplex></performnud,accept_rtadv></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum></up,broadcast,running,simplex,multicast>
En el ejemplo em1 es la interfase WAN con IP 192.168.125.210 y máscara 24 (255.255.255.0). Las IPs virtuales son 192.168.125.197, 198 y 199, con la misma máscara.
La interfase WAN tiene la puerta definida, que se puede ver en System: Routing: Gateways
Con Diagnostics: Ping se llega a las IPs, tanto desde cualquier Source Address y los alias de IP también aparecen como Source Address.
Hasta aquí cómo configurar/comprobar tus IPs virtuales en localmente (en el propio pfSense).
Para las pruebas iniciales olvídate de cualquier NAT entrante. Además, estás haciendo NAT 1:1. No sé si es lo que quieres pero eso publica en internet cualquier servicio del equipo interno. Para publicar un único servicio deberías usar NAT Port Forward. Pero eso es para después, comprobados los alias de IP en WAN a nivel externo.
Pon una regla en WAN que permita la entrada de ICMP para el destino WAN Subnet (no sólo la IP de la WAN). Esto debería permitirte hacer ping y/o tracert a cualquiera de tus IPs públicas desde otro enlace que no sea el de tu ISP.
> IPv4 ICMP * * WAN net * * none
Dices tener los servidores en un switch del lado WAN. Entiendo que con las IPs públicas. Estás duplicando IPs. No puedes hacer pruebas fiables en esa situación. Tendrás que buscar una franja horaria de poco uso y/o bien avisar a tus usuarios.
Sobre los enlaces en inglés no sé qué decirte porque si realmente no funcionan las IPs virtuales creo que el tema habría generado más intervenciones. Es algo usual por parte de mucha gente y se me hace extraño que nadie más haya corroborado el problema. Aunque también hubo varias revisiones (menores) en pocas semanas y puede que muchos tampoco hayan hecho el cambio a la última versión.
-
ok, voy colocando lo que me sale segun tus sugerencias.
1 , configuras tu WAN y le indicas la puerta que te dió el proveedor. Nada más.
R: listo solo ip y gateway2, Después define los alias de IP para tu WAN con la máscara de tu WAN. Esto último es especialmente importante, pues todas las IPs tienen que estar en el rango que te dió tu ISP, a fin de que se vean entre sí, tengan la misma puerta (la de tu ISP)…
listo estoy colocando una sola vip por ahora y esta en el mismo rango de la publica y con la misma mascara.3, Hecho esto con Diagnostics: Execute command tendrías que ver algo como:
este es mi resultado:
$ ifconfig rl0
rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=3808 <vlan_mtu,wol_ucast,wol_mcast,wol_magic>ether 00:e0:4c:77:1a:39
inet 200.XX.XX.203 netmask 0xfffffff8 broadcast 200.XX.XX.207
inet6 fe80::2e0:4cff:fe77:1a39%rl0 prefixlen 64 scopeid 0x1
inet 200.XX.XX.205 netmask 0xfffffff8 broadcast 200.XX.XX.207
nd6 options=3 <performnud,accept_rtadv>media: Ethernet autoselect (100baseTX <full-duplex>)
status: active</full-duplex></performnud,accept_rtadv></vlan_mtu,wol_ucast,wol_mcast,wol_magic></up,broadcast,running,simplex,multicast>4. La interfase WAN tiene la puerta definida, que se puede ver en System: Routing: Gateways
si la tiene y es la asiganda pro el ISP 200.XX.XX.2015.-Con Diagnostics: Ping se llega a las IPs, tanto desde cualquier Source Address y los alias de IP también aparecen como Source Address.
Ping output:
PING 200.x.x.205 (200.x.x.205): 56 data bytes
64 bytes from 200.x.x.205: icmp_seq=0 ttl=64 time=0.163 ms
64 bytes from 200.x.x.205: icmp_seq=1 ttl=64 time=0.046 ms
64 bytes from 200.x.x.205: icmp_seq=2 ttl=64 time=0.042 ms–- 200.x.x.205 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.042/0.084/0.163/0.056 ms
al parecer si la ve6.- Pon una regla en WAN que permita la entrada de ICMP para el destino WAN Subnet (no sólo la IP de la WAN). Esto debería permitirte hacer ping y/o tracert a cualquiera de tus IPs públicas desde otro enlace que no sea el de tu ISP.
creada tal cual.
IPv4 ICMP * * WAN net * * none7.-Dices tener los servidores en un switch del lado WAN. Entiendo que con las IPs públicas. Estás duplicando IPs. No puedes hacer pruebas fiables en esa situación. Tendrás que buscar una franja horaria de poco uso y/o bien avisar a tus usuarios.
R: tengo un solo servidor con una ip que no estoy usando para la VIP que es la 206.
segun todo esto el problema parece ser que no se ven desde afuera, ya que desde diagnostics todo da respuesta..
voy a ver si puedo quitar el otro servidor por un momento y colocar el pfsense directamente al cablemodem.