Problema con limiter
-
Hola a todos.
Tengo un box pfsense 2.2.5-RELEASE (i386) con balanceo de 2 WAN, una LAN y una DMZ. Implementé dos limiters, uno para subida y otro para bajada lo cual funciona a la perfección aplicándolos a una regla en la interfaz LAN:
IPv4 * RedLAN * * * balanceoWAN none
El único problema es que al momento de activar los limiters, no puedo ver los sitios web publicados en nuestros servidores web en la DMZ y que tienen asignados ips públicas de una de las WAN. Si desactivo los limiters puedo verlos nuevamente.
Se me escapa algo?
-
Te está "mordiendo" :D el "Policy Routing" (GW = balanceoWAN)
Debes crear una regla que permita el trafico "LAN -> DMZ" con el GW "default" (*)
Y debe estar "antes" (por encima) de la Regla que tenga el "GW Group" (tu regla con los limiters)
https://doc.pfsense.org/index.php/Bypassing_Policy_Routing
-
Gracias por responder tan rápido.
Más arriba tengo la siguiente regla:
IPv4 * RedLAN * RedDMZ * * none
Es correcto eso?
-
??? con eso, debería funcionar…
-
Si en el browser ingreso la ip local del sitio web, por ejemplo: 192.168.1.151 funciona bien. El problema se da cuando ingreso el dominio www.ejemplo.com o la ip pública xxx.xxx.xxx.151.
Via consola hago un ping a las 3 opciones y las 3 funcionan, tambien los tracert.
Desactivo los limiters en la regla y todo vuelve a funcionar de inmediato.
-
https://doc.pfsense.org/index.php/Why_can%27t_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks
https://doc.pfsense.org/index.php/Port_Forward_Troubleshooting
-
Le di una mirada a los documentos pero no logro entender por que tendría que tener que ver con algo de eso. Supuestamente los limiters no deberían afectar en nada el comportamiento de las reglas más que limitar el ancho de banda, más aun cuando el ruteo parece estar funcionando bien…. debe ser algo del dns.
-
Revolví el problema. Tenías toda la razon, muchas gracias por la ayuda. Lo que estaba causando el problema es que en las reglas de NAT, tenía seleccionado en NAT reflection la opción: Enable (NAT + Proxy) en vez de Enable (Pure NAT).
Funciona a la perfección ahora.