[SOLUCIONADO] Problemas para salir por una determinada WAN

MichelR

Claro eso hago, si le digo que salga por el gateway1 o el gateway2 los equipos no navegan, si le digo que salga por el gateway que tengo por defecto (sea cualquiera de los dos) entonces si navegan los equipos.

Si te fijas en mi post anterior verás que tengo la regla que tu indicas.

No sé si habrá que tocar algo más en system o en algún apartado de la configuración o es algún bug de pfsense 2.2.1.

MichelR

Para la red LAN si funciona, puedo salir por un gateway o por otro indistintamente.

Las dos redes están exactamente igual configuradas, la única diferencia es que la WIRELESS asigna las direcciones IP mediante el DHCP de pfsense y la LAN las asigna el DHCP de un servidor windows server 2003.
Pero el DNS es el mismo para las dos.

He revisado también los puntos de acceso y están bien configurados.

acriollo

si el pfsense recibe ips privadas del lado de las wans hay que deshabilitar la casilla de la interface que evita que reciba trafico de este tipo de redes y de redes no validdas.

Intenta dar ping desde la interface wan2

grojo

Hola a todos , yo tengo la misma situación con dos wan conectadas a la caja pfsense y si requiero publicar un servicio como SSH solo lo puedo hacer en la WAN que tengo asignada por default, si establezco en la regla la wan que deseo de puerta de enlace simplemente el servicio no se publica, solamente funciona hasta que establezca el gateway: default. Mencionar que uso la versión 2.2.2 de pfsense.

Saludos.

MichelR

Hola de nuevo, parece ser que mi problema es el DNS, la red WIRELESS tiene el rango 172.26.1.0 y la LAN el 172.26.0.0. Mi servidor DNS (windows 2003) tiene la diracción 172.26.0.3, la LAN sale bien con el servidor DNS pero la WIRELESS solo resuelve direcciones si le pongo el gateway por defecto, si especifico una concreto ya no resuelve direcciones poniendo como DNS el interno(172.26.0.3). Si pongo como DNS en el DHCP de la red WIRELESS el de google por ejemplo (8.8.8.8) sin problemas.

Me parece muy raro, yo entiendo que desde la red WIRELESS (172.26.1.0) se puede alcanzar el servidor DNS que está en la red LAN (172.26.0.0). Las interfaces no se ven por defecto ???

bellera

Desde siempre, he hecho policy routing en los balanceadores salientes que tienen enrutador detrás, a fin de administrarlos.

¿ Lo teneis hecho ?

Igual es eso lo que provoca el problema.

Ver imagen.

wans_policy_routing_outgoing_balance.png_thumb

bellera

@MichelR:

Hola de nuevo, parece ser que mi problema es el DNS, la red WIRELESS tiene el rango 172.26.1.0 y la LAN el 172.26.0.0. Mi servidor DNS (windows 2003) tiene la diracción 172.26.0.3, la LAN sale bien con el servidor DNS pero la WIRELESS solo resuelve direcciones si le pongo el gateway por defecto, si especifico una concreto ya no resuelve direcciones poniendo como DNS el interno(172.26.0.3). Si pongo como DNS en el DHCP de la red WIRELESS el de google por ejemplo (8.8.8.8) sin problemas.

Me parece muy raro, yo entiendo que desde la red WIRELESS (172.26.1.0) se puede alcanzar el servidor DNS que está en la red LAN (172.26.0.0). Las interfaces no se ven por defecto ???

No. Evidentemente que las subredes no se ven, a menos que pongas reglas para ello.

Regla en wireless autorizando el destino UDP 172.26.0.3 puerto 53 si quieres que sea tu DNS el que resuelva.

De todas maneras, por defecto, es DNS Resolver de pfSense quien hace de DNS a los equipos (según DHCP de pfSense):

https://forum.pfsense.org/index.php?topic=92461.msg512282#msg512282

MichelR

Estas son las reglas en la red WIRELESS:

IPv4 TCP	WIRELESS net	  *	   LAN net	     *	               *	     none	 
IPv4 TCP	Servidor	  *	   *	             53 (DNS)          *	     none
IPv4 *	        *	          *	   *	             *                 GW_WAN2       none

No navego sin pongo como DNS la 172.26.0.3, cosa que si ocurre si pongo como DNS en cualquier equipo los de google por ejemplo.
En cambio si pongo en la última regla que salga por el gateway por defecto (*) si resuelve mi DNS interno (172.26.0.3)

Gracias por todo

bellera

La primera regla te permite llegar a todo lo que esté en LAN desde WIRELESS, pero sólo por TCP. DNS es UDP 53, habitualmente.

La segunda regla no sé que prentende ser pues Servidor sería un equipo en WIRELESS

Si Servidor es tu Win2003 la regla debería ser:

IPv4 UDP	WIRELESS net	  *	   Servidor	     53	               *	     none

Y, evidentemente, cerciorarse de que Win2003 no tiene limitado el acceso dentro de su subred.

MichelR

Claro que ceporro!!! el tráfico dns es UDP!!!

Vaya tela, lo siento por daros el coñazo y no darme cuenta de una cosa tan básica.

Muchas gracias a todos y tema resuelto.