Acceder a host en lan desde host en wan
-
@ acriollo
En ningún momento mencioné la Ruta del Lado LAN ??? Siempre hablé de WAN (192.168.1.0/24) –> LAN (10.x.y.z)
-
hola @ptt, de cualquier forma creo que el PFsense no sabria que hacer con un paquete que va hacia la interface LAN, creo yo que por el nat.
Debe de ser forsozamente con un port forwarding.
saludos -
Gracias a todos por sus comentarios.
Como señala el usuario acriollo, intentare trabajar con un port forwarding, a ver si consigo solución al problema, que como tal no es un problema, solo que en el diagrama de red que manejo en la empresa, el pfsense necesariamente debe de ir en la ubicación señalada en la imagen.
Con respecto a lo que plantea el usuario ptt, la comunicación en el sentido LAN a WAN es perfecta, las reglas automáticas del NAT hacen ese trabajo, cuando cree las interfaces LAN adicionales solo tuve que crear una regla que permitiera salida a internet, mas no una que permitiera comunicarme con los host en WAN.
La comunicación de un host en LAN a uno en WAN es, hasta el momento 100% efectiva.
De verdad que gracias a todos por sus opiniones, a veces el tiempo no me alcanza para visitar el foro como quisiera, pero siempre que entro aquí, aprendo algo nuevo.
¡Saludos!
-
En todos mis post hablé de tráfico en el sentido "WAN" –> "LAN" en ningun momento hablé de "LAN" –> "WAN"
De todas formas, para que el "port Forward" funcione el tráfico Debe llegar a la WAN ;) por eso mi insistencia en las Rutas, y en la "comprobacion" de que el Tráfico está "llegando" a la WAN y no "yendose" a"otro lado" por el GW del segmento 192.168.68.1.x (router que tienes en el lado WAN del pfSense).
-
La verdad es que no veo en donde se metería una ruta para que un host alcance a otro que esta dentro del mismo segmento. En este caso el segmento de la WAN.
Por lo que se ve en el diagrama , los host que quieren acceder a equipos de la LAN estan en el mismo segmento que la interface WAN del PF.
-
Nadie está hablando de "hosts en el mismo segmento" ni de "LAN –> WAN" !
A ver si me explico de una manera que entiendas
Tienes:
[Router] –--- (Hosts 192.168.1.0/24)---- [pfSense] –-- (Hosts 10.0.0.0/24)
Cómo Hace un Host del Segmento 192.168.1.0/24 para "Llegar" a un Host del segmento 10.0.0.0/24 ??
Pues NECESITA una Ruta en el Primer Router que le diga que la Red 10.0.0.0/24 está "detrás" de la WAN del pfSense (IP 192.168.1.x). O No ??
Espero "ahora" se entienda de lo que estoy hablando.
-
Mi estimado @ptt entiendo perfectamente que de quiere acceder a un host que esta atrás de un NAt lo que parece que aún no entiendes o no has visto es que los host que quieren hacer esto están dentro del mismo segmento de la WAN , has visto el diagrama ?
Para eso necesitas una ruta en el primer router ? Y esperas que yo entienda ? :)
-
El diagrama es un "desastre" (confuso e incompleto) y no se "condice" con lo que el compañero dice en sus posts.
https://forum.pfsense.org/index.php?topic=100567.msg560565#msg560565
¡Saludos!
En esta ocasión recurro al foro para plantear el siguiente caso:
Tengo el pfsense (2.2.4) configurado de la siguiente manera, 1 tarjeta en WAN 192.168.1.99, tres tarjetas en LAN (10.0.1.1, 10.0.2.1, 10.0.3.1). En las interfaces LAN tengo funcionando servidores DHCP funcionando perfectamente.
La red presenta total capacidad de interacción interna, es decir, desde un host en cualquiera de las LAN puedo tocar a cualquier host en cualquier otra LAN, y todos los host tienen acceso a internet.
Mi problema es el siguiente, en la red donde funciona mi WAN (192.168.1.99) tengo otros equipos que necesitan llegarle a los host que están en las interfaces LAN, de manera tal que yo pueda entablar comunicación entre una ip del rango donde está mi WAN hasta una ip de un host en mi LAN (ej. desde 192.168.1.90 hacer ping a 10.0.1.80) cosa que se me ha hecho esquiva hasta el momento.
https://forum.pfsense.org/index.php?topic=100567.msg561959#msg561959
¡Saludos!
Primero que nada Disculpen la demora en comentar, me encontraba en trabajo de campo y por tanto tenía en espera el problema que tenemos en discusión, la regla en el FW lleva rato funcionando, como comente anteriormente hice una regla any to any.
Realizando un tracert hasta la IP del equipo que se sirve del dhcp configurado en la interfaz LAN, desde la WAN hasta la LAN se queda en un bucle infinito de intentos, PERO si le hago el tracert desde un equipo en la WAN hasta la puerta de enlace de esa LAN me llega en un solo salto, en tiempo inferior a 1ms.
Esto me lleva a pensar que el problema lo tengo en lo que permite recibir la LAN, por lo que allí también aplique una regla que permita entrar todo lo que provenga de la WAN, sin embargo sigo sin lograr mi objetivo, que es poder hacer ping desde cualquier host WAN a mis host en LAN.
Y ahora se entiende ? o sigo equivocado ??
-
ptt, consulta
No faltará agregar la ruta en el host de wan?
Si fuese un ubuntu, tal que
route add -net 10.0.0.0/8 gw 192.168.1.99
o quizás
route add -net 10.0.1.0/24 gw 192.168.1.99
o quizás
route add -net 10.0.x.0/32 gw 192.168.1.99
?
Es una pregunta estúpida?
Saludos!
-
Si, una opcion es "crear/agregar" la ruta en cada Host.
O la mas simple, crear la ruta en el GW (Router), en lugar de hacerlo en cada Host ;)
Otro tema/factor a tener en cuenta, es que para evitar el "doble NAT" y los "port Forward" puede utilizar el pfSense como "Router" sin el NAT habilitado
-
@ptt:
Si, una opcion es "crear/agregar" la ruta en cada Host.
O la mas simple, crear la ruta en el GW (Router), en lugar de hacerlo en cada Host ;)
Otro tema/factor a tener en cuenta, es que para evitar el "doble NAT" y los "port Forward" puede utilizar el pfSense como "Router" sin el NAT habilitado
Gracias.
Yo me había quedado con esto
entablar comunicación entre una ip del rango donde está mi WAN hasta una ip de un host en mi LAN
entonces pensé en que crear la ruta en ese host de WAN (para llegar a la LAN), podía ahorrarle tiempo al OP
Pero leyendo mejor, veo que son varias las terminales en la red WAN que tienen que llegar a los hosts de LAN
Saludos!
