Navegar internamente

pasavino · Mar 25, 2013, 8:09 PM

Hola a Todos!!
Tengo un pfsense 1.2.2 y las maquinas de mi red lan no pueden navegar sitios que estan dentro de mi propia lan.

por ej, si en mi lan quiero ir a www.misitio.com el cual en la zona dns tiene el ip publico (obviamente) no navego.
mi esquema es:

pfsense LAN 192.168.0.252
pfsense WAN 181.x.x.x

servidor web + dns +ftp +etc 192.168.0.251

pfsense hace de gateway de las maquinas de mi lan, todas con ip fijos, no hay DHCP en mi lan.
cada maquina en mi lan tiene como puerta de enlace a mi pfsense y como dns al 192.168.0.251

cuestion , parece que pfsense bloquea cuando desde la lan se quiere navegar un sitio que esta tambien! en el servidor web 192.168.0.251 de mi lan.

agradeceria la ayuda.
saludos a todos!

georgeman · Mar 25, 2013, 10:50 PM

Tenes redirigido el puerto 80 de tu IP publica al servidor web? En ese caso, tendrias que habilitar la opcion de "NAT reflection" en la regla de NAT.

Otra opcion seria agregar una entrada manual dentro del servidor DNS para que resuelva ese dominio directamente a la IP privada, y tendrias un "Split-DNS" (bastante mas elegante para mi gusto)

Y otra cosa, por que no actualizas a una version mas reciente de pfSense?

Saludos!

bellera · Mar 26, 2013, 1:35 AM

Arriba, en Documentación, Ver (con el mismo nombre) servidores publicados en Internet.

Preguntaste lo mismo hace bastante tiempo…
http://forum.pfsense.org/index.php/topic,47541.msg249862.html#msg249862

pasavino · Mar 26, 2013, 11:37 AM

Hola.
si si , pregunte antes y volvi a preguntar porque no encontre mi post, pido disculpas por eso.

Disabled NAT Reflection le saque el check y ahora andan las maquinas de la lan, pero se invirtio el asunto, ahora no puedo navegar hacia sitios en internet.

georgeman · Mar 26, 2013, 2:55 PM

Cual es exactamente la opcion que desactivaste?? La que se encuentra en System – Advanced -- Firewall/NAT -- Disable NAT Reflection for port forwards ???

Entonces, cuando estan HABILITADOS los NAT reflections (de manera que te funciona el acceder a los servidores internos), te deja de funcionar el server DNS?

pasavino · Mar 26, 2013, 3:18 PM

hola, desactive en :

System: Advanced functions -> Network Address Translation -> Disable NAT Reflection (quite el check que tenia)

el pfsense es el 1.2.2

cuando saco el check, las maquinas internas funcionan para los sitios internos, por ej www.misitio.com (donde el ip es publico 181.x.x.x) funciona, pero si quiero ir a www.google.com ya no funciona.

si vuelvo a poner el check, www.google.com funciona pero www.misitio.com no funciona.
como que se invierte la cosa.

pasavino · Mar 26, 2013, 3:22 PM

pd:

claro, los DNS ya no funcionan cuando quito el tilde

georgeman · Mar 26, 2013, 3:52 PM

El servidor DNS no es el pfSense dijiste no?

La verdad no se me ocurre como el NAT reflection puede romper la resolucion DNS. Fijate como esta configurado tu servidor DNS, contra quien resuelve??? Especificalo por IP, se me ocurre que el server DNS externo esta especificado con el mismo hostname que el interno, por lo que cuando esta habilitado el NAT reflection realiza la consulta sobre si mismo.

En cualquier caso, dudo que sea un problema de pfSense.

Saludos!

pasavino · Mar 26, 2013, 4:21 PM

mi dns no es el pfsense, es una maquina en la lan.
voy a revisar como esta resolviendo.

gracias, luego cuento como me fue

pasavino · Mar 26, 2013, 6:13 PM

no anda….......
ya no se que hacer.........

pasavino · Mar 26, 2013, 7:33 PM

porque cuando QUITO el check de Disable NAT Reflection y desde una maquina de mi lan queriendo entrar a un sitio externo y por ip , estoy bloqueado?

hay alguna regla en el firewall que me este faltando?

por ej, google es 173.194.42.5 (entre otros) si hago http://173.194.42.5 no puedo acceder.
si marco Disable NAT Reflection todo funciona.

gracias y disculpen si soy reiterativo, pero no me esta funcionando como deberia ser.

disculpen las molestias.

bellera · Mar 26, 2013, 8:58 PM

Usa DNS Split

http://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks%3F

Y procura migrar a 2.2 cuanto antes…

georgeman · Mar 26, 2013, 9:13 PM

Lo mas seguro es que este mal puesta la regla de NAT:

http://doc.pfsense.org/index.php/Why_does_enabling_NAT_Reflection_break_web_surfing%3F

Me sumo a lo de actualizar a 2.0.2 de cualquier manera…

pasavino · Mar 26, 2013, 10:21 PM

gracias a todos, lamentablemente no funciona ni con dns-split

quedara asi hasta que pueda migrar o instalar la version 2 en algun nuevo server.
gracias a todos por su tiempo y ayuda.
Saludos!

georgeman · Mar 26, 2013, 10:23 PM

Seguro que no es lo ultimo que puse? Fijate la regla de NAT hacia el webserver, en "destination" tiene que decir "WAN address" o "interface address" (o similar, no se como dice exactamente en esa version). Seguramente lo tenes puesto en "Any"

pasavino · Mar 26, 2013, 10:38 PM

hola
figura asi en el nateo

y en outbound esta asi

georgeman · Mar 26, 2013, 10:40 PM

Claro!! Cambia External address de "Any" a "Interface address" ;)

pasavino · Mar 26, 2013, 11:12 PM

OOOOOOOOOHHHHHHHHHHH SE HIZO LA LUZ!!!!!!!!!!!!!!!!!!!!!!

muchas gracias georgeman!!!!!! era asi, y cuando cambie y probe, andaban los sitios, pero para navegar por ej a google.com no andaba, entonces dado lo que me hiciste cambiar, pense "no sera que la regla del DNS debe estar tambien en interface address" y bueno, la cambie a la regla del DNS y anda todo perfecto ahora!!!

MUCHAS GRACIAS, estoy muy agradecido.

IGUALMENTE A TODOS LOS QUE ME AYUDARON A SOLUCIONARLO…...MUCHAS GRACIAS POR SU TIEMPO!

saludos!