Problema con web externa
-
Hola Estimados!
Les cuento, no se que ocurre que mi pfsense me bloquea unas web externas con ERR_CONNECTION_TIMED_OUT, y no tengo ningun filtro aplicado o algo parecido.
Que puede estar bloqueando el acceso a las webs?.
Saludos!
-
Ninguna idea?
:-\
-
Perdon aporto dentro de mi poca experiencia.
1- con cualquier web te pasa eso?
2-mira en status system logs en la solapa firewall a ver si figura algun blockeo que pueda generarlocon esas dos, creo yo, podemos saber mas sobre como seguir
S.C.
-
Hola!
1.- No solo con un par de web puntuales.
2..- no aparece ningún bloqueo asociado o a la ip de destino de la web o la ip de origen en el log de firewall
:/
-
Podrias probar con una regla temporal de todo entra y sale libremente.
Asi por lo menos sabrias si es problema de FW u otra cosa. -
Lo hice, pero no cambio nada.
No se, se me ocurre mirar por consola el log de trafico (si es que se puede) y ver que hace cuando va a esa direccion, el tema no se que log me podria dar esta info.
-
Hola,
Que servicios tiene corriendo tu pfsense? -
hola!
apinger Gateway Monitoring Daemon
dhcpd DHCP Service
dnsmasq DNS Forwarder
ntpd NTP clock sync
openvpn OpenVPN server -
anybody?
-
1.- No solo con un par de web puntuales.
anybody?
Que/Cuales "web" ?
"Buscaste" en el Foro hilos acerca de "ERR_CONNECTION_TIMED_OUT"
https://forum.pfsense.org/index.php?topic=94916.0
-
con esa web
http://www.asociaciondemutuales.cl/
no veo ninguna solucion en el post que citastes….
-
Desde "aquí" (Argentina) estando "detrás" de un pfSense, no tengo problemas con dicha web.
no veo ninguna solucion en el post que citastes….
El "post que cité" simplemente apuntaba a que "eventualmente" podía ser un problema relacionado con el sitio web/hosting, y a que veas algunas de las pruebas que se indicó realizar:
@cmb:
Its not a phishing attempt, though apparently using godaddy isn't quite the good idea I thought it was. I'd be happy to hear of some hosts that don't suck quite so badly. The IP address shouldn't show as owned by someone in aulstralia, it should show as Kentucky, USA. In fact, your welcome to look up the LLC on kentucky's .gov website, the business has been active for 10+ years now I believe.
The IP of the web server shows up under GoDaddy's Arizona HQ address, which would be expected. That's a shared hosting service, the IP isn't assigned only to that company, and even if it were it's just a single address out of one of GoDaddy's blocks.
The domain is registered with registrar Melbourne IT Ltd in Australia, but registered to Ben Pottinger in KY as the owner.
All cheap website hosting sucks. You'll end up on a server with hundreds or thousands of other websites, likely some of ill repute or some that get compromised and become of ill repute. That IP in particular hosts 1001 different domains. Can look up the IP here. http://www.yougetsignal.com/tools/web-sites-on-web-server/
There really isn't anything you can do to get great low-rent web hosting. I'm sure there are some providers that are better than GoDaddy, but don't expect any ~$10-20/month or less web hosting to be great.
Back to the original problem - what's failing? Does DNS resolve correctly? Can you ping the IP? If DNS resolves fine, and you can't ping the IP, what does a traceroute to that IP look like?
Hasta ahora, no nos diste "nada" (excepto la web) con lo que "trabajar" por lo que es realmente difícil "orientarte/ayudarte"
Como podrás ver en la imagen adjunta, desde aquí (con pfSense) "funciona"
-
Saludos
Ingresa vía ssh al Pfsense y con el comando links carga la pagina, para ver si no es problema de algún paquete que tienes instalado o de aluna regla en la LAN
-
Hola, aca van screenshots del pfsense
@ptt:
Saludos
Ingresa vía ssh al Pfsense y con el comando links carga la pagina, para ver si no es problema de algún paquete que tienes instalado o de aluna regla en la LAN
sale "making connection"…
-
Veo que tienes varias WAN, hasle un traceroute al sitio para ver por donde esta saliendo….
-
Veo que tienes varias WAN, hasle un traceroute al sitio para ver por donde esta saliendo….
aca va un traceroute
traceroute asociaciondemutuales.cl
traceroute to asociaciondemutuales.cl (173.236.194.164), 64 hops max, 40 byte packets
1 tor.entelchile.net (200.111.122.1) 0.412 ms 0.281 ms 0.437 ms
2 192.168.125.61 (192.168.125.61) 2.519 ms 2.460 ms 2.513 ms
3 172.31.240.46 (172.31.240.46) 10.556 ms 9.927 ms 9.657 ms
4 172.31.240.45 (172.31.240.45) 9.994 ms 11.746 ms 16.472 ms
5 192.168.69.18 (192.168.69.18) 14.134 ms 12.732 ms 10.837 ms
6 5.53.1.232 (5.53.1.232) 11.909 ms 14.444 ms 11.569 ms
7 5.53.5.41 (5.53.5.41) 105.410 ms
176.52.248.77 (176.52.248.77) 106.012 ms
5.53.3.165 (5.53.3.165) 105.972 ms
8 94.142.98.52 (94.142.98.52) 147.142 ms
94.142.98.50 (94.142.98.50) 144.491 ms
94.142.98.34 (94.142.98.34) 134.547 ms
9 te0-17-0-30.ccr41.dfw03.atlas.cogentco.com (154.54.13.25) 137.503 ms
te0-13-0-30.ccr41.dfw03.atlas.cogentco.com (154.54.13.225) 135.644 ms
te0-17-0-30.ccr41.dfw03.atlas.cogentco.com (154.54.13.25) 139.881 ms
10 be2764.ccr22.dfw01.atlas.cogentco.com (154.54.47.213) 134.412 ms 137.355 ms 136.032 ms
11 be2443.ccr22.iah01.atlas.cogentco.com (154.54.44.229) 143.048 ms
be2441.ccr21.iah01.atlas.cogentco.com (154.54.41.65) 144.251 ms 141.073 ms
12 be2687.ccr41.atl01.atlas.cogentco.com (154.54.28.69) 151.732 ms
be2690.ccr42.atl01.atlas.cogentco.com (154.54.28.129) 148.834 ms 148.293 ms
13 be2113.ccr42.dca01.atlas.cogentco.com (154.54.24.221) 151.206 ms 149.759 ms 148.793 ms
14 be2658.rcr21.iad02.atlas.cogentco.com (154.54.47.138) 150.492 ms
be2171.ccr41.iad02.atlas.cogentco.com (154.54.31.106) 158.705 ms
be2658.rcr21.iad02.atlas.cogentco.com (154.54.47.138) 150.880 ms
15 te0-0-0-0.agr11.iad02.atlas.cogentco.com (154.54.44.198) 149.331 ms 146.665 ms
te0-0-0-0.agr12.iad02.atlas.cogentco.com (154.54.44.202) 149.295 ms
16 te0-0-2-3.nr11.b037327-0.iad02.atlas.cogentco.com (154.24.15.66) 159.823 ms 160.401 ms
te0-0-2-0.nr11.b037327-0.iad02.atlas.cogentco.com (154.24.15.62) 146.766 ms
17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *
31 * * *
32 * * *
33 * * *
34 * * *
35 * * *
36 * * *
37 * * *
38 * * *
39 * * *
40 * * *
41 * * *
42 * * *
43 * * *
44 * * *
45 * * *
46 * * *
47 * * *
48 * * *
49 * * *
50 * * *
51 * * *
52 * * *
53 * * *
54 * * *
55 * * *
56 * * *
57 * * *
58 * * *
59 * * *
60 * * *
61 * * *
62 * * *
63 * * *
64 * * *Chino para mi :/
-
Quiere decir que llegas hasta te0-0-2-0.nr11.b037327-0.iad02.atlas.cogentco.com (154.24.15.62) 146.766 ms y luego no hay forma de llegarl al equipo
deberia darte al final algo como esto.
traceroute to asociaciondemutuales.cl (173.236.194.164), 30 hops max, 60 byte packets
1 192.168.16.1 (192.168.16.1) 0.222 ms 0.274 ms 0.307 ms
2 19.dyn.dsl.cantv.net () 1.240 ms 1.247 ms 1.238 ms
3 19.dyn.dsl.cantv.net () 19.233 ms 19.354 ms 19.410 ms
4 172.16.67.193 (172.16.67.193) 19.545 ms 19.552 ms 19.894 ms
5 10.150.0.25 (10.150.0.25) 23.414 ms 23.413 ms 23.756 ms
6 10.150.0.2 (10.150.0.2) 21.926 ms 5.759 ms 21.602 ms
7 10.150.0.202 (10.150.0.202) 21.545 ms 21.557 ms 21.551 ms
8 so-5-0-0.mia13.ip4.gtt.net (199.168.63.129) 82.558 ms 82.569 ms 82.563 ms
9 xe-7-2-0.mia12.ip4.gtt.net (141.136.109.57) 82.557 ms 82.551 ms 82.544 ms
10 ae4.mpr1.mia2.us.zip.zayo.com (64.125.12.197) 117.699 ms 117.707 ms 121.164 ms
11 ae10.cr1.dca2.us.zip.zayo.com (64.125.20.193) 117.692 ms 117.686 ms 121.124 ms
12 ae15.er4.iad10.us.zip.zayo.com (64.125.31.22) 137.992 ms 137.994 ms 137.973 ms
13 ae16.er5.iad10.us.zip.zayo.com (64.125.31.77) 137.965 ms 148.131 ms 148.099 ms
14 208.185.23.134.t00867-03.above.net (208.185.23.134) 148.067 ms 148.090 ms 148.108 ms
15 * ip-208-113-156-4.dreamhost.com (208.113.156.4) 148.285 ms *
16 ip-208-113-156-75.dreamhost.com (208.113.156.75) 148.056 ms ip-208-113-156-73.dreamhost.com (208.113.156.73) 148.022 ms 148.018 ms
17 online.storystudiochicago.com (173.236.194.164) 148.221 ms 97.932 ms 97.931 msAl final llega al sitio consultado–esta en rojo
-
y entonces que puede ser?…
-
Buenos días y disculpa el descargue :D
Si un traceroute es chino para ti, creo que no estás en el área correcta… si quieres administrar un firewall/router debes saber todo esto.... y es hora de aprender/investigar.
Por otro lado, un time out se produce porque tu equipo no recibe respuesta del host destino, o al menos no le llega... entonces, con esta premisa, inicias tu investigación....
Puedes empezar verificando si desde otro enlace puedes acceder a la página (funciona)
Entonces deduces que el problema está de tu lado o tu enlace.
Como puedes navegar en otras páginas, entonces deduces que el problema no es tu enlace, entonces está en tus reglas.
Verificas qué servicios tienes activos que interfieran con las redes... por ejemplo, IPS, Rutas, mala segmentación, gateways mal configurados, rutas mal definidas, etc.Ahora bien, viendo tus reglas me llama la atención algo:
Teniendo VPN configurada, no entiendo porqué tienes varios nat/forwarding a quipos de la red interna. por ejemplo, a un windows RDP 3389, un ssh 22 que no es el del pfSense, a no ser que tengas y administres tu propio DNS, la regla de DNS no tendría sentido, las consultas DNS son por UDP y no por TCP, salvo que hagas réplicas de DNS con otro DNS secundario, que sí irían por TCP, y así otros servicios que ya ni idea de qué serían, pero podría presumir que el 9500 es un puerto de impresora, el 10.000 de algún servicio de monitoreo, etc.
Saludos
-
Bueno no todos tenemos iniciativa y nos hace falta un empujon aveces… pero ese es otro punto.
la vpn es para una cosa y los nat que hay son para monitorear desde fuera de estas redes (cualquier parte).
Evidentemente hay un problema en este FW, el cual yo no se detectar aun, pero creo que la solución es mas simple, configurar de 0 todo.
Gracias por las ayudas respectivas.
