Acceder a host en lan desde host en wan
-
¡Saludos!
En esta ocasión recurro al foro para plantear el siguiente caso:
Tengo el pfsense (2.2.4) configurado de la siguiente manera, 1 tarjeta en WAN 192.168.1.99, tres tarjetas en LAN (10.0.1.1, 10.0.2.1, 10.0.3.1). En las interfaces LAN tengo funcionando servidores DHCP funcionando perfectamente.
La red presenta total capacidad de interacción interna, es decir, desde un host en cualquiera de las LAN puedo tocar a cualquier host en cualquier otra LAN, y todos los host tienen acceso a internet.
Mi problema es el siguiente, en la red donde funciona mi WAN (192.168.1.99) tengo otros equipos que necesitan llegarle a los host que están en las interfaces LAN, de manera tal que yo pueda entablar comunicación entre una ip del rango donde está mi WAN hasta una ip de un host en mi LAN (ej. desde 192.168.1.90 hacer ping a 10.0.1.80) cosa que se me ha hecho esquiva hasta el momento.
He intentado aplicar una rule en cada interfaz LAN que permita la conexión desde cualquier fuente hasta la red propia de cada LAN, adicionalmente aplique una regla (any to any) en WAN con la intención de que dejara pasar todo, pero aun así no logro lo que necesito.
Espero haberme hecho entender, en espera de sus comentarios y acostumbrada ayuda me despido.
-
Para permitir tráfico desde un "host" del "lado WAN" hacia un "host" del "lado LAN" la Regla de FW la creas en la WAN ;)
Además de la Regla, debes asegurarte que el "host" del "lado WAN" "sepa cómo/por dónde" llegar al "host" del "lado LAN" (Rutas)
Puedes verificar eso, mediante un "traceroute"
Qué resultados obtienes del "traceroute" ?
-
Saludos mi estimado solo puedo agregar que correctamente el compañero PTT te ha dado tema valioso a la resolucion de su problema verificar eso detalles, imagino que si todo le funciona bien y trabaja en rango ip privado la wan la misma no posee inconveniente con el trafico …. En todo caso revisar esos detalles y lo indicado por el compañero establecer rutas de manera manual para acceder a esos equipos sin ningun tipo de inconvenientes...
-
-
Oups!! que pena mi estimado PTT no note el dia de mi respuesta que quien respondio fue usted !! Disculpeme esa y otras mas ando con tantas cosas en la cabeza que realmente me vine a dar cuenta ahora que usted ha comentado jejejeeje!!
En todo caso hacia mencion a usted especificamente y su respuesta a este Post!!
Saludos
-
Ja ja… no es nada/no es problema...
Como decimos por mis pagos... "pasa en las mejores familias" ;D
De todas formas debemos tomarnos las cosas con Humor ;)
-
¡Saludos!
Primero que nada Disculpen la demora en comentar, me encontraba en trabajo de campo y por tanto tenía en espera el problema que tenemos en discusión, la regla en el FW lleva rato funcionando, como comente anteriormente hice una regla any to any.
Realizando un tracert hasta la IP del equipo que se sirve del dhcp configurado en la interfaz LAN, desde la WAN hasta la LAN se queda en un bucle infinito de intentos, PERO si le hago el tracert desde un equipo en la WAN hasta la puerta de enlace de esa LAN me llega en un solo salto, en tiempo inferior a 1ms.
Esto me lleva a pensar que el problema lo tengo en lo que permite recibir la LAN, por lo que allí también aplique una regla que permita entrar todo lo que provenga de la WAN, sin embargo sigo sin lograr mi objetivo, que es poder hacer ping desde cualquier host WAN a mis host en LAN.
Esperando haberme hecho explicar, y agradecido de antemano por sus comentarios me despido.
-
jfernandez:
Nos ayudaría poder ver algunas capturas de pantalla de las reglas del firewall tanto de la interfaz WAN como de la interfaz LAN que elijas para realizar el test.
Saludos.
-
Además de las capturas de pantalla, seria bueno un "diagrama/esquema" de la red, incluyendo las IP's (ya que se tratan de Ip's privadas)
-
Gracias por responder rocaembole.
Les adjunto imágenes de las reglas activas en el firewall:
Para WAN y para una de las interfaces LAN.
¡Saludos!
-
en dhcpp4 cambiá "wan address" por "wan net". Probá y contanos si llegás desde un host en WAN a un host en LAN.
Si aplica la solución, te recomiendo crees aliases de aquellas máquinas en "WAN" que puedan acceder a dhcpp4, y cambies WAN NET por el alias correspondiente.
Asimismo no te olvides de crear la ruta estática en el host de la WAN para que sepa cómo llegar a la otra subred!
Saludos.
-
Gracias por las respuestas,
Atendiendo el pedido del compañero PTT, adjunto un diagrama hecho a vuelo de pájaro, como decimos en mi país.
Con respecto a lo que comentas, amigo rocaembole, modifique la regla en dhcp4, tal como sugieres y el problema persiste.
En el diagrama que he adjuntado, es un mapeo global del funcionamiento en estos momentos de la red, atento a sus comentarios me despido.
-
Asimismo no te olvides de crear la ruta estática en el host de la WAN para que sepa cómo llegar a la otra subred!
Saludos.
-
No veo dónde está el segmento 192.168.1.x (en el diagrama no está indicado) :-\
@ptt:
Además de la Regla, debes asegurarte que el "host" del "lado WAN" "sepa cómo/por dónde" llegar al "host" del "lado LAN" (Rutas)
Dónde/cómo creaste/definiste la/s Ruta/s para que los Host'd del "Lado WAN" (192.168.1.x) "sepan cómo llegar" al los segmentos 10.0.1.x, 10.0.2.x y 10.0.3.1x ?
En la interface "DHCPP4" la última regla, es inútil, ya que nunca tendrás tráfico de la WAN address "originado" el dicha interface, la segunda regla, está de mas, ya que en la interface "DHCPP4" el tráfico será "originado" por los Hosts de la misma red (DHCPP4 Net) y eso ya lo tienes permitido en la primera regla.
Por favor, Lee/Revisa la documentación respecto al tema "Firewall"
https://doc.pfsense.org/index.php/Firewall_Rule_Basics
https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order
https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting
-
estimado @ptt, no creo que los usuarios que estan del lado de la LAN nencesiten una ruta para llegar a uno de los hosts que estan dentro de la WAN ya que asumo que los usuarios estan dentro de la misma red ( asumo /24) que tiene la interface WAN del PFsense, para este caso el mismo pfsense resolverá por que interface deben de salir los usuarios de las LANs para alcanzar a los hosts en la WAN. Se asume tambien que las reglas de nat estan creadas correctamente.
No es necesario crear reglas en la WAN ya que el trafico no va hacia la interface WAN ( Input) , si no mas bien el trafico va hacia alguna de las interfaces internas o DHCPs que tiene definido el compañero ( Forwarding ).
De hecho los usuarios en la WAN nunca van a poder alcanzar a las IPs directamente si no es por medio de un port forwarding, debido al nat que tienen en el PFSense. y debido tambien a que los hosts que estan en la WAN no saben por donde alcanzaran a estas direcciones . Asumo tambien que estos hosts tienen como puerta de enlace la IP que tiene el PFsense como gateway por defecto en la interface WAN. y aunque pusieramos una ruta en este gateway que da internet cuando llegue el paquete a la interface WAN del pFSense , este mismo no va a saber que hacer con el paquete. Otra vez por el nat.
Lo que mas bien se tiene que hacer segun "mis nervios :)" es crear un portforwarding para los puertos que ser requieren acceder o hacer un nat 1:1 para cada uno de los hosts de la LAN que se quieran acceder.
Realmente la solución no me gusta pero ni poquito , por que esos hosts no deberian de radicar ahi en la WAN, si no mas bien en otra interface que sea de una red de "confianza" .hacer lo que se quiere con un nat de por medio va a complicar bastante las cosas.
espero no estar diciendo demasiadas tonterias.
saludos
-
@ acriollo
En ningún momento mencioné la Ruta del Lado LAN ??? Siempre hablé de WAN (192.168.1.0/24) –> LAN (10.x.y.z)
-
hola @ptt, de cualquier forma creo que el PFsense no sabria que hacer con un paquete que va hacia la interface LAN, creo yo que por el nat.
Debe de ser forsozamente con un port forwarding.
saludos -
Gracias a todos por sus comentarios.
Como señala el usuario acriollo, intentare trabajar con un port forwarding, a ver si consigo solución al problema, que como tal no es un problema, solo que en el diagrama de red que manejo en la empresa, el pfsense necesariamente debe de ir en la ubicación señalada en la imagen.
Con respecto a lo que plantea el usuario ptt, la comunicación en el sentido LAN a WAN es perfecta, las reglas automáticas del NAT hacen ese trabajo, cuando cree las interfaces LAN adicionales solo tuve que crear una regla que permitiera salida a internet, mas no una que permitiera comunicarme con los host en WAN.
La comunicación de un host en LAN a uno en WAN es, hasta el momento 100% efectiva.
De verdad que gracias a todos por sus opiniones, a veces el tiempo no me alcanza para visitar el foro como quisiera, pero siempre que entro aquí, aprendo algo nuevo.
¡Saludos!
-
En todos mis post hablé de tráfico en el sentido "WAN" –> "LAN" en ningun momento hablé de "LAN" –> "WAN"
De todas formas, para que el "port Forward" funcione el tráfico Debe llegar a la WAN ;) por eso mi insistencia en las Rutas, y en la "comprobacion" de que el Tráfico está "llegando" a la WAN y no "yendose" a"otro lado" por el GW del segmento 192.168.68.1.x (router que tienes en el lado WAN del pfSense).
-
La verdad es que no veo en donde se metería una ruta para que un host alcance a otro que esta dentro del mismo segmento. En este caso el segmento de la WAN.
Por lo que se ve en el diagrama , los host que quieren acceder a equipos de la LAN estan en el mismo segmento que la interface WAN del PF.
