PfSense, squid y Default Gateway
-
una PC de la oficina tiene instalado un VPN hacia un fortinet, pero esa "#$%"#% aplicación, no tiene para configurarle proxy, y sale por el default gateway hacia internet, pero el pfSense bloquea todas las salidas hacia internet obligándola a pasar por el Squid.
Las VPN no acostumbran a usar los puertos de navegación. Se hace raro que la VPN pase por proxy transparente. Un proxy transparente intercepta http (TCP 80). Y a lo sumo (haciendo SSL bumping), https (TCP 443).
Pero si el caso es que no deja navegar porque debe ir directo (por algún motivo):
Proxy server: General settings: Transparent Proxy Settings: Bypass proxy for these source IPs
-
Gracias por responder.
La VPN no está usando puerto 80, usa otro puerto más alto, el cual ya había configurado en el squid como safe ports… para el caso de un cliente VPN que si se le puede configurar proxy/socks... el problema es que se está instalando un cliente más "ligero" que no tiene manera de configurarse como el anterior.
La configuración que comentas de Bypass en el squid está configurada así, es por eso que pedí la ayuda, porque no me explico la razón por la cual las IP que están en esa regla no "funcionan".
Para aclarar más el panorama... tengo varias VLANs cuyos gateways son ?.?.?.1 mi VLAN es y.y.y.y con Gateway y.y.y.1, el pfSense está en la misma VLAN y sería como y.y.y.100, y es el que sirve de proxy para algunas máquinas que requieren hacer descargas sin que afecte el enlace principal, ese pfSense también es mi salida para verificar el enlace principal y nuestros servicioes externos (web, extranet, webapp, dns, etc)
Una de las máquinas que quiero probar con el cliente fortinet es un win7 al cuál se le está configurando como gateway el pfSense, y está en la regla de ByPass del Squid (que está en el mismo pfSense), pero no sale hacia internet, no deja hacer ni ping, un cuando en las reglas del FW tengo a la VLAN y.y.y.y que pueda salir sin problemas. Regla WAN any any any Regla LAN any any any actualmente para probar, y en el outbound lo mismo... pero NADA, hay algo que no estoy viendo, y no entiendo qué es... Saludos
-
Puedes postear tus reglas del lado de la LAN ?
-
La configuración que comentas de Bypass en el squid está configurada así, es por eso que pedí la ayuda, porque no me explico la razón por la cual las IP que están en esa regla no "funcionan".
Pues deberían ir. Al fin y al cabo esto añade un no rdr para la máquina en cuestión.
Ejemplo para squid en modo transparente (para http y https -ssl bump-) en tarjeta em0 y dejando que 192.168.1.2 vaya directa a internet:
$ pfctl -s nat no nat proto carp all nat-anchor "natearly/*" all nat-anchor "natrules/*" all nat on em1 inet from 192.168.1.0/24 port = isakmp to any port = isakmp -> 192.168.0.210 port 500 nat on em1 inet from 127.0.0.0/8 port = isakmp to any port = isakmp -> 192.168.0.210 port 500 nat on em1 inet from 192.168.1.0/24 to any -> 192.168.0.210 port 1024:65535 nat on em1 inet from 127.0.0.0/8 to any -> 192.168.0.210 port 1024:65535 no rdr proto carp all rdr-anchor "relayd/*" all rdr-anchor "tftp-proxy/*" all no rdr on em0 inet proto tcp from 192.168.1.2 to any port = http no rdr on em0 inet proto tcp from 192.168.1.2 to any port = https rdr on em0 inet proto tcp from any to ! (em0) port = http -> 127.0.0.1 port 3128 rdr on em0 inet proto tcp from any to ! (em0) port = https -> 127.0.0.1 port 3129 rdr-anchor "miniupnpd" all
He puesto todos los NAT que hay, pero los que afectan al proxy transparente son:
no rdr on em0 inet proto tcp from 192.168.1.2 to any port = http no rdr on em0 inet proto tcp from 192.168.1.2 to any port = https rdr on em0 inet proto tcp from any to ! (em0) port = http -> 127.0.0.1 port 3128 rdr on em0 inet proto tcp from any to ! (em0) port = https -> 127.0.0.1 port 3129
-
Una de las máquinas que quiero probar con el cliente fortinet es un win7 al cuál se le está configurando como gateway el pfSense, y está en la regla de ByPass del Squid (que está en el mismo pfSense), pero no sale hacia internet, no deja hacer ni ping, un cuando en las reglas del FW tengo a la VLAN y.y.y.y que pueda salir sin problemas. Regla WAN any any any Regla LAN any any any actualmente para probar, y en el outbound lo mismo… pero NADA, hay algo que no estoy viendo, y no entiendo qué es...
-
ping no tiene nada que ver con el uso de proxy. Es subprotocolo ICMP, no TCP.
-
En WAN no deber haber reglas. Si se ponen, es para dejar entrar a servicios que tengamos publicados en internet.
-
Regla LAN por defecto debería dejar pasar todo hacia internet, salvo presencia de proxy transparente para tareas de navegación.
-
NAT Outbound, recomendable en automático. A menos que se precisen cosas especiales.
-
Prueba a deshabilitar el cortafuegos que puedas tener en Win7.
-
Comprueba qué puerta tienes realmente en el Win7, mediante ipconfig /all
-
Comprueba también rango de ip de tu Win7, coincidente con el de la VLAN de pfSense.
-
Asegúrate que llegas bien a pfSense desde tu Win7.
-
Que estén bien las VLAN en switch y pfSense. Si hace falta, reinicia switch y pfSense. No sea que hayas "mareado" mucho las VLANs.
-
Para squid y prueba sin él.
-
-
Respondo ambas preguntas, la de criollo y la tuya.
En las reglas LAN tengo any any any, todo lo de la LAN hacia cualquier parte está permitido.
En mis reglas WAN tengo una sola regla para acceder al webconfigurator desde afuera en caso de emergencia, con mi dirección IP Pública Fija de casa.
- ping no tiene nada que ver con el uso de proxy. Es subprotocolo ICMP, no TCP.
–> Eso lo se, pero al usar el pfSense como Gateway, debería poder hacer ping (ICMP) hacia el exterior, incluso porque en mis reglas lan no especifico TCP/UDP sino any protocol.
- En WAN no deber haber reglas. Si se ponen, es para dejar entrar a servicios que tengamos publicados en internet.
Tengo solo una para poder acceder al webconfigurator desde fuera. (son una IP específica)
- Regla LAN por defecto debería dejar pasar todo hacia internet, salvo presencia de proxy transparente para tareas de navegación.
Así está, el proxy no es transparente, aunque durante las pruebas lo puse transparente también para ver si es algo que squid configuraba por debajo.
- NAT Outbound, recomendable en automático. A menos que se precisen cosas especiales.
Estaba automático, y lo puse manual también durante las pruebas, en vista de que no me dejaba salir ningún paquete hacia internet, llegué a pensar que los paquetes que recibía de la máquina origen no eran traducidos con la IP Pública, locuras que piensa uno cuando haces de todo y las cosas no funcionan.
- Prueba a deshabilitar el cortafuegos que puedas tener en Win7.
No solo probé con win7, también lo hice con mi máquina Debian, allí modifiqué mi default gw hacia el pfSense en lugar del Core SW. y nada
- Comprueba qué puerta tienes realmente en el Win7, mediante ipconfig /all
Esto lo hice, incluso con Debian # route -n
- Comprueba también rango de ip de tu Win7, coincidente con el de la VLAN de pfSense.
Comprobado
- Asegúrate que llegas bien a pfSense desde tu Win7.
Ping a la ip del pfSense sin problemas.
- Que estén bien las VLAN en switch y pfSense. Si hace falta, reinicia switch y pfSense. No sea que hayas "mareado" mucho las VLANs.
No hay problemas
- Para squid y prueba sin él.
Lo deshabilité y nada…
Sigo probando y les informo..
Saludos y gracias.
-
Que rollo..
Oyes sin pfsense ese tunel funciona de maravilla, nomas entre pfsense y ese tunel deja de funcionar o sea ni siquiera se puede generar el tunel?
-
Resuelto el dilema.
Una falla mía principalmente, por no revisar la dirección de la WAN; como tenía navegación, asumí que todo estaba correcto; pero resulta que mi #$%&#$@"#$ ISP está nateando y me entregaba una dirección privada, y no se qué tipo de controles tenga en su red, posiblemente hayan colocado algún proxy transparente para "ahorrarse" ancho de banda, o es que se les acabaron sus direcciones ipv4. Luego de intentar en muchas oportunidades reiniciar la WAN, por fin me entregó una dirección Pública, y todo empezó a funcionar sin novedad…
Saludos.
-
Te iba a preguntar si estabas seguro de tener rangos distintos en LAN/WAN. Y si eran los correctos para lo que querías hacer.
Bueno, son cosas que pasan…
-
aaaaaaaa ese rodria eeee…
ya estaba preocupado por tu caso eeee jajajajajaja...
como dicen los gringos 'shit happens', 'asi es la vida', etc, etc.
Saludos.
-
Seh.. como dice Bellera, son cosas que pasan, lo que me molesta es que soy una de las personas que cuando algo no funciona, comienzo revisando que el equipo esté conectado a la corriente e incluso con multímetro en mano para verificar que haya tensión :D pero en este caso que no es físico, sino lógico, me confié, como lo dije anteriormente, navegaba sin problemas a internet, y asumí que tenía bien la WAN y no revisé… :D