[SOLUCIONADO] Configuracion NAT de salida
-
¡Enhorabuena!
Pero precisamente te dije que tenía ser any… Supongo que con las prisas no leíste bien el mensaje.
Interface: WAN
SOURCE: 192.168.10.0/24
SOURCE PORT:*
DESTINATION: 192.168.5.0/30
DESTINATION PORT: *
NAT ADDRESS: 195.222.xxx.145
NAT port: *
Static Port: NODESTINATION tiene que ser any (cualquier ip de destino) o negado 192.168.5.1 (evitar NAT para el enrutador).
Al repetir tu configuración y poner la nota debajo quizás quedó algo confuso.
Repito. Me alegro de que ya esté operativo.
-
Buenas,
Tengo al parecer el mismo problema, sólo que no consigo salir por otras de las IPs del rango que no sea por la del pfsense:
Hace poco he cambiado de proveedor de inet y por tanto, de rango de direcciones publicas.
La configuración funciona pero cuando pruebo whatismyip, todo el tráfico siempre sale por la misma IP, (la que tiene puesto el pfsense)Dentro de Firewall/Virtual IPs tengo:
Virtual IP address Interface Type Description
89.140.XXX.16/28 WAN proxy arpDentro de Firewall/NAT/1:1 tengo:
Interface External IP Internal IP Destination IP
WAN 89.140.XXX.22 192.168.1.184 *
WAN 89.140.XXX.28 192.168.1.235 *
WAN 89.140.XXX.29 192.168.1.233 *
WAN 89.140.XXX.30 192.168.1.234 *adicionalmente, dentro de Firewall/NAT/Outbound tengo:
{Modo Automático}
Interface Source SourcePort Destination DestinationPort NAT Address NATPort StaticPort
WAN 192.168.1.0/24 * * 500 WAN address * YES [Auto created rule for ISAKMP - LAN to WAN]
WAN 192.168.1.0/24 * * * WAN address * NO [Auto created rule for LAN to WAN]
WAN 127.0.0.0/8 * * * WAN address 1024:65535 NO [Auto created rule for localhost to WAN]
WAN 192.168.3.0/24 * * * WAN address * NO [Auto created rule for OpenVPN server]¿Que se me escapa, qué más tengo que configurar o que mas podría probar? Con el rango del proveedor anterior no tenía éste problema y la configuración del pfsense me he asegurado de que sea la misma.
¡Gracias de antemano!
-
WAN 192.168.1.0/24 * * * WAN address * NO [Auto created rule for LAN to WAN]¿En qué quedamos? ¿Está en automático o en manual el NAT Outbound?
Entiendo que si está en automático, el NAT 1:1 debería hacer la función. Si está en manual, entonces deberías tener algo como:
WAN 192.168.1.184 * * * 89.140.XXX.22 * NOSi en lugar de NAT 1:1 hicieras NAT Port Forward de los servicios que tienes en 192.168.1.184 deberías hacer lo mismo para el NAT Outbound (manual y mapeo anteriormente expuesto).
De todas maneras siempre hay que pensar que en un MultiWAN o con varias IPs públicas en WAN una conexión iniciada desde un equipo interno saldrá siempre por la puerta por defecto, a menos que:
- En MultiWAN hayamos definido otra puerta mediante las reglas en LAN para ese equipo.
- Con varias IPs públicas hayamos tuneado el NAT tal como se comenta más arriba.
-
Confirmado. NAT Outbound está en automático, y está claro que no funciona :(
Probaré NAT Port Forward con NAT Outbound en manual.
¡Muchas gracias por la explicación!
-
Después de probar esto…
Sigue sin funcionarme. :(Es más, no podía acceder a Internet desde ninguna máquina excepto la de la regla (192.168.1.184) y por la misma IP de siempre
He tenido que dejar por encima la que apunta a la WAN para que funcionara pero igualmente no sirve de nada.
Además, no puedo poner en "Source" una IP como ponías en el ejemplo anteriormente en el NAT manual. Solo me deja poner 'any' o lo que está puesto ahora (192.168.1.0/24)
¿Al funcionar en manual, debería borrar todas las entradas que se crearon automáticamente?Adjunto configuraciones.
Creo que el problema viene de más atrás, ya que esta configuración la tenía igual de otro pfsense de cual copié la configuración. Lo único que cambié fue lo referente al direccionamiento IP externo del proveedor
Perdidísimo estoy
 -
A ver…
Configura NAT 1:1 como lo tenías y NAT Outbound en modo automático.
Postea el resultado de Diagnostics: Command prompt para el comando:
pfctl -s nat | grep binatEsto tiene que dar una línea semejante a (em1 es la interfase WAN en el ejemplo):
binat on em1 inet from 192.168.1.184 to any -> 89.140.XXX.22External IP: 89.140.XXX.22
Internal IP: 192.168.1.184NAT bidireccional. Es decir, lo que venga de 192.168.1.184 debe traducirse a 89.140.XXX.22 y lo que venga de 89.140.XXX.22 a 192.168.1.184.
Me extraña que no funcione pues justamente es el ejemplo que hay en el libro oficial de pfSense, con una IP Virtual en WAN.
-
La otra solución, usando NAT Outbound manual y NAT Port Forward, para los servicios publicados.
Al activar NAT Outbound manual se ven las reglas del NAT Outbound automático.
Ver imagen para una LAN 192.168.1.0/24
 -
Y si en NAT Outbound juegas con máscaras 32 y orden de aplicación de los NAT, según imagen…
tendrás algo como:
$ pfctl -s nat | grep em1 nat on em1 inet from 192.168.1.0/24 to any port = isakmp -> 89.140.XXX.20 static-port nat on em1 inet from 192.168.1.184 to any -> 89.140.XXX.22 port 1024:65535 nat on em1 inet from 192.168.1.0/24 to any -> 89.140.XXX.20 port 1024:65535 nat on em1 inet from 127.0.0.0/8 to any -> 89.140.XXX.20 port 1024:65535siendo em1 la interfase WAN, 89.140.XXX.20 su IP real y 89.140.XXX.22 la virtual.
Espero haberme explicado…
 -
Gracias por toda las explicaciones pero sigue sin funcionar. Después de hacer esto, voy a whatismyip y sigue saliendo por la que acaba en 21, aunque los resultados de Diagnostics son como dices (posteo resultados)
El caso es que he llamado a ONO, y me asegura que está saliendo tráfico desde las IP's en donde he puesto NAT. Es como si permitiese los puertos pasivos, pero el resto no, y sin embargo he especificado claramente en port forward el puerto 80… ??? Raro, raro
¿Cómo puedo probar (que no sea whatismyip) que el tráfico efectivamente está saliendo por la IP externa especificada? ¿Puede ser que whatismyip se pruebe por un puerto que no sea el 80?
-
Tienes un rdr (NAT Port forward) que sobra para el NAT 1:1
Del libro oficial de pfSense…
Port forwards also take precedence over 1:1 NAT. If you have a port forward on one external IP address forwarding a port to a host, and a 1:1 NAT entry on the same external IP address forwarding everything into a different host, then the port forward will still be active and working sending that one port to the original host.
Por favor, deja todo en NAT 1:1 para que podamos aclararnos. O es una solución o es la otra.
Y deja NAT Outbound en automático, pues tienes combinaciones que tampoco vienen al caso si estás haciendo NAT 1:1.
También del libro oficial de pfSense…
1:1 (pronounced one to one) NAT maps one public IPv4 address to one private IPv4 address. All traffic from that private IPv4 address to the Internet will be mapped to the public IPv4 address defined in the 1:1 NAT mapping, overriding your Outbound NAT configuration. All traffic initiated on the Internet destined for the specified public IPv4 address will be translated to the private IPv4, then evaluated by your WAN firewall ruleset. If the traffic is permitted by your firewall rules to a target of the private IPv4 address, it will be passed to the internal host.
Postea de nuevo
pfctl -s nat | grep bge0 -
El caso es que he llamado a ONO, y me asegura que está saliendo tráfico desde las IP's en donde he puesto NAT. Es como si permitiese los puertos pasivos, pero el resto no
No entiendo bien qué quieres decir con puertos pasivos.
-
¿Cómo puedo probar (que no sea whatismyip) que el tráfico efectivamente está saliendo por la IP externa especificada? ¿Puede ser que whatismyip se pruebe por un puerto que no sea el 80?
¿Desde dónde haces esta prueba?
Supongo que la estarás haciendo desde cada equipo interno (.184, .235, .233 y .234) para cada IP externa.
Y que no hay de por medio ningún servicio proxy (squid)…
-
Muy buenas, ¡¡por fin lo arreglé!! ;D ;D ;D
El problema era squid. Lo tenía habilitado
En algún momento si que deshabilité y paré el servicio, pero con eso no hacía nada. Había que deshabilitar "Transparent proxy".Al mirar en Diagnostics> States y ver tráfico saliendo desde las IP's externas que había especificado, y después de confirmar ésto con el proveedor, me dio una pista cuando ví en las reglas esto: "1024:65535". El trafico que pasaba por estos puertos salía, pero no por el resto (como el 80)…
...y cuando me dijiste squid al final, lo tuve claro. :)Muchísimas gracias por todo bellera :)
