[ Solucionado] acceso a pfsense desde el exterior
-
Buenos dias, tengo problemas para acceder ak firewall desde el exterior, desde el interior aparentemente todo funciona bien…
tengo cambiado el puerto para acceder al pfsense, es el 8443, y en las reglas de la wan tengo permitido el acceso por el 8443
tcp -> any -> this firewal -> 8443
pero no hay forma de conseguir conectarme desde el exterior, desde chrome me da el mensaje "ha rechazado la conexión."
no se que puede estar pasando, no es el primer firewall que configuro, y no había tenido este problema antes...
Saludos
-
hola. asumiendo que tu pfsense tiene ip publica la regla de la wan deberia quedar algo asi (disculpa el paint en el numero del puerto)
![Captura de pantalla 2016-04-05 13.57.40.png](/public/imported_attachments/1/Captura de pantalla 2016-04-05 13.57.40.png)
![Captura de pantalla 2016-04-05 13.57.40.png_thumb](/public/imported_attachments/1/Captura de pantalla 2016-04-05 13.57.40.png_thumb) -
hola. asumiendo que tu pfsense tiene ip publica la regla de la wan deberia quedar algo asi (disculpa el paint en el numero del puerto)
Siempre habia utilizado la opcion This firewal :-[
pero poniendo Wan address tampoco me funciona… -
Verificaste que el "tráfico" esté llegando a la WAN (captura de paquetes) ?
-
acabo de poner un equipo con la misma ip y escuchando en el mismo puerto con un apache, y accedo bien, pero vuelvo a conectar el firewall y nada… desde la misma red intento acceder por la ip publica y conexion bloqueada :'(
-
@ekm:
desde la misma red intento acceder por la ip publica y conexion bloqueada :'(
Dese el "Lado WAN" ?
-
@ptt:
@ekm:
desde la misma red intento acceder por la ip publica y conexion bloqueada :'(
Dese el "Lado WAN" ?
no te entiendo ptt, por la dirección local puedo entrar bien al firewall desde la misma red, pero accediendo a la dirección publica no consigo entrar ni desde dentro ni desde fuera (logico supongo)…
siento no responder a tu consejo de antes, estaba en proceso de deshabilitar todas las reglas del firewall, cuando terminase eso tenia pensado hacer la captura de paquetes, pero parece que no hace falta, solo tengo una regla que permite acceso a la direccion wan por el 8443 y ahora entro bien, por lo que tengo pensado ir activando las reglas una a una y ver donde falla...
-
Hola.
Otra forma.
Creas una VirtualIP en la wan, y haces NAT 1:1 de la Virtual IP de la WAN (puerto tcp8443 o el que desees) hacia a la IP de la LAN al puerto tcp8443.
(ejemplo: https://www.javcasta.com/procedimientos/virtualip-y-nat-11-en-pfsense-caso-practico/ )
Salu2
-
Otra forma.
Creas una VirtualIP en la wan, y haces NAT 1:1 de la Virtual IP de la WAN (puerto tcp8443 o el que desees) hacia a la IP de la LAN al puerto tcp8443.
Disculpa, pero no le encuentro el "sentido práctico" a hacerlo de esa manera. (Y desde la "perspectiva" de la seguridad, no haces ninguna diferencia)
-
La "VIP" debe ser una IP Pública, por lo que tendrá que solicitarla a su ISP (una "complicación" extra).
-
1:1 NAT ? para que ? (eventualmente un "port forward" sería suficiente).
Dado que el lighttpd (en la versión actual) o el nginx (en la versión 2.3RC) "escucha" en todas la interfaces, con una Regla de FW permitiendo el acceso, ya está resuelto. ;)
De todas formas, para la administración "Remota" eso No es lo que se recomienda.
https://doc.pfsense.org/index.php/Remote_firewall_Administration
-
-
Hola
Una vez que me pedian acceso desde la wan (semi wan ya que habia que natear desde el router "frontera" del isp al interfaz wan del pfSense, el pfSense para salir a Inet tenia como gw otro router), y por algún extraño motivo (a pesar de tener regla permisiva que dejaba acceder a la GUI desde la interfaz wan, y habia prisas, etc, etc) no se podia, se solucionó de esa manera (y no con http, sino con https y puerto no estandard, tampoco hay que ponerselo tan facil a los bad boys, je :) )
Gracias por las info.
Salu2
-
Solucionado! me da verguenza decirlo… :-[
las reglas de acceso estaban bien, pero en el nat tenia una cagada muy gorda, tenia una regla en la que queria que todo lo que vienise de "any" por el puerto "source ports" 20, lo redireccionara a un equipo desde el puerto 1024 hasta el 65000, el problema era que no tenia puesto el dato de que el puerto de origen tenia que ser el 20, lo tenia tambien en "any", por lo que al poner ip:8443 para acceder al firewall este no sabia que hacer...
gracias por los consejos!
Saludos
-
@ekm:
Solucionado! me da verguenza decirlo… :-[
en el nat tenia una cagada muy gorda,
gracias por los consejos!
Saludos
[/quote]De nada ! ;)
Como decimos por aquí "pasa en las mejores familias" :P
Fíjate si puedes editar el Primer Post, y agregarle "[ Solucionado]" al título.