Problema de acceso remoto con GW por default.
-
Buen dia a todos esperando tengan un excelente inicio de semana. La situación es la siguiente, busco tener un esquema donde el GW para la red LAN sea WAN2 y para los servicios que tengo expuestos salgan por la WAN 1, el problema viene cuando al momento de editar mi regla para los servicios expuestos si yo indico que salgan por WAN1 y WAN1 no está colocada como Default GW simplemente los servicios no pueden ser visibles, sin embargo si coloco WAN1 como default gateway y en la regla indico que el gateway sea Default GW los servicios si son visibles desde el exterior, quiero pensar que es un tema de reglas ya que he intentado de diferentes maneras y no me ha funcionado, muestro las reglas que tengo en espera de su ayuda.
WAN1: Conexión WAN via PPOE y dispongo de acceso via ip publica.
WAN2: Conexión WAN via DHCP, no dispongo de acceso via ip publica
LAN: Conexión a red interna.En la caja Pfsense tengo configurado las siguientes reglas en la WAN1 para permitir el acceso a servicios SSH y RDP
WAN1
Proto Source Port Destination Port Gateway Queue Schedule Description
1 IPv4 TCP * * 192.168.1.124 22 (SSH) WAN1 none NAT SSH2 IPv4 TCP * * 192.168.1.69 3389 (MS RDP) WAN1 none NAT Remote Desktop
LAN
Proto Source Port Destination Port Gateway Queue Schedule Description
IPv4 LAN net * * * WAN2 none
Saludos y gracias de antemano.
-
¿ Configuraste reglas en WAN1 o hiciste NAT Port Forward creando reglas asociadas para WAN1 ?
Si no es eso, añade dos reglas en LAN que indiquen que la "vuelta" es por WAN1.
IPV4 TCP 192.168.1.124 22 * * WAN1 IPV4 TCP 192.168.1.69 3389 * * WAN1 IPV4 * LAN net * * * WAN2
-
Que tal Bellera respondiendo a tu pregunta, si hice reglas NAT Port Forwarding, las reglas las tengo de la siguiente manera:
If Proto Src. addr Src. ports Dest. addr Dest. ports NAT IP NAT Ports Description WAN1 TCP * * WAN1 address 22 (SSH) 192.168.1.124 22 (SSH) SSH WAN1 TCP * * WAN1 address 3389 (MS RDP) 192.168.1.69 3389 (MS RDP) Remote Desktop
Probé agregando tambien la regla como lo mencionaste en tu post anterior y el resultado fue negativo.
Saludos.
-
Me lo temía. Normalmente no se requieren reglas de "vuelta".
Si dejando WAN1 como default y poniendo en LAN
IPV4 * LAN net * * * WAN2
te funciona yo no me preocuparía más.
Igual hay algún lío por el hecho de tener una WAN PPPOE y otra DHCP. He buscado pero no encuentro nada.
-
Que tal Bellera, fijate que tambien probé ese escenario, cuando pongo el GW WAN2 en la regla LAN, los equipos salen por el GW de WAN2 pero los servicios publicados como SSH y RDP que tienen el GW de la WAN1 o default dejan de ser visibles hasta que a la LAN le vuelvo a colocar el GW por default que en mi casa es la WAN1.
-
Raro, raro…
Por favor, IP + rango de cada interfase + puerta indicada en cada WAN (La LAN no debe tener puerta).
Rutas (Diagnostics - Routes o netstat -r)
NAT Port Forward (pantallazo o pfctl -s nat)
-
Claro que si, añado las siguientes imagenes de mi configuracion actual, así como algunos datos de las configuraciones que tengo en mis interfaces:
LAN
Direccion IP: 192.168.1.1
Configuracion IP: Estatica
DHCP Habilitado
Rango: 192.168.1.2 a 192.168.1.50
subred: 192.168.1.0
Mascara de Red: 255.255.255.0WAN1
IP Configuracion: PPPoeWAN2
IP configuracion: DHCP![LAN DHCP Direcciones.png](/public/imported_attachments/1/LAN DHCP Direcciones.png)
![LAN DHCP Direcciones.png_thumb](/public/imported_attachments/1/LAN DHCP Direcciones.png_thumb)
![NAT Port Forwarding.png](/public/imported_attachments/1/NAT Port Forwarding.png)
![NAT Port Forwarding.png_thumb](/public/imported_attachments/1/NAT Port Forwarding.png_thumb)
![Reglas WAN1.png](/public/imported_attachments/1/Reglas WAN1.png)
![Reglas WAN1.png_thumb](/public/imported_attachments/1/Reglas WAN1.png_thumb)
![Reglas WAN2.png](/public/imported_attachments/1/Reglas WAN2.png)
![Reglas WAN2.png_thumb](/public/imported_attachments/1/Reglas WAN2.png_thumb)
![Routing Tables.png](/public/imported_attachments/1/Routing Tables.png)
![Routing Tables.png_thumb](/public/imported_attachments/1/Routing Tables.png_thumb)
![Reglas LAN.png](/public/imported_attachments/1/Reglas LAN.png)
![Reglas LAN.png_thumb](/public/imported_attachments/1/Reglas LAN.png_thumb) -
-
Revisa esto: https://doc.pfsense.org/index.php/Port_Forward_Troubleshooting
-
En tus Reglas de "LAN" las 3 últimas "nunca aplicarán" (la primera que tiene como origen "LAN net" es la única que aplica
https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order
-
-
De acuerdo contigo ptt solo funciona la primer regla, omitiendo las otras dos reglas, el detalle es que estando esta regla con el gateway WAN2 el acceso a los servicios SSH y RDP por el gw de WAN1 no funcionan y para que estos funcionen solo ha sido cuando pongo LAN con el "GW default", así como las reglas de salida con el "GW default", cabe mencionar que el GW por default para que funcione ha sido WAN1.
Saludos.
-
No veo nada extraño salvo lo que te dice ptt y el hecho de que tienes por ahí una regla suelta para IPv6.
Prueba a deshabilitar totalmente IPv6, en System - Advancing - Networking - Allow IPv6
Estoy dando palos a ciegas, pero a veces…
Otras cosas a hacer:
-
Verificar máscaras ISPs. Sorpresas da la vida, https://forum.pfsense.org/index.php?topic=92682.msg515819#msg515819
-
Invertir tarjetas WAN
-
Verificar imagen de pfSense descargada. A veces no se hace y hay sorpresas
-
Instalación limpia (desde cero)
-
-
Revisar/verificar, punto por punto, lo que mencionan/resaltan como "Common Problems" (los 15 puntos) ;)
En: https://doc.pfsense.org/index.php/Port_Forward_Troubleshooting
-
- En tus Reglas de "LAN" las 3 últimas "nunca aplicarán" (la primera que tiene como origen "LAN net" es la única que aplica
Buenos días llerena en la regla
Lan -> WANBALANCE
LAN -> WANFAILOVERWAN1
LAN -> WANFAILOVERWAN2porque no funcionaría??, eso se debe a que la primera regla le indica que salga por la puerta del dchp_WAN, si quito esta regla esas 3 reglas que le continuan, volverían a funcionar.
Atentamente
loquitoslack
-
Lee/Revisa la Documentación ;)
https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order
-
Excelente gracias por el dato XD, cada día aprendo más, entonces la validez de una regla se debe al line number del firewall en el que esta configurado, igual como suele suceder en iptables, si falla wan-dchp, independiente de las demás reglas el paquete se perdería, ahí me confundí.
Atentamente
loquitoslack
"Solo se que nada se, y por eso aprendo aprendo aprendo…!!!" -
Con la noticia de que estuve realizando unas pruebas y al momento de entrar a la interfaz WAN1 cuando entro en la seccion Private Networks y deshabilito la opcion Block Bogon Networks puedo entrar sin problema via RDP o SSH a los servicios que tengo publicados, sin embargo esto solo dura por un par de minutos y despues ya me bloquea, despues vuelvo a habilitar la opción Block Bogon Networks e igualmente puedo entrar por un par de minutos y despues vuelvo a ser bloqueado.