Problemas con filezilla, cpanel,bancos al conectarme detras de PFsense

carlosjavier10

Buenas... tengo una vieja maquina, una atlom no recuerdo ahorita el modelo (creo que no importa mucho) pero si que es de 32bits. (x86), en vista de que tengo problemas con internet y recordando que hace unos años monte facilmente un portal cautivo con web cache gracias a pfsense y ademas con alta disponibilidad ya que fue muy facil hacer que manejara las 3 WAN que en aquel momento se disponian para ese proyecto, entonces quise aprovechar esa vieja maquina para mejorar un poco mi conexion con su configuracion de alta disponibilidad, montarlo no hubo problema (salvo que la version de 32bit esta descontinuada, yo tengo en mi repo personal una copia !suerte!) , bueno el problema que tengo es que no puedo conectarme a ningun hosting por ftp, no puedo abrir ningun cpanel, y de hecho no puedo entrar a las paginas web de los bancos de mi pais, yo no soy experto, solo leo los tutoriales que hacen lo que si son expertos (agradecido siempre), estuve leyendo y creo que es cuestion de abrir puertos, pero la verdad no he logrado ningun avance, me gustaria poder usarlo asi sea solo como servidor de alta disponibilidad, ya que (vivo en venezuela, no digo mas) pero dispongo de dos WAN, alguien me puede orientar para abrir todos los puertos o los que necesito para que funcionen los clientes ftp, cpanels y bancos? o es por que ya esta version de 32bits no deberia usarse? de ante mano muchas gracias por la ayuda.

lucasll

@carlosjavier10
Hola.
No sé si entiendo bien tu escenario. Dime si esto es correcto:

• Tienes acceso a internet.
• Pero que dicho acceso actualmente impide el acceso a ciertos puertos o lugares de internet.
• Lo que quieres es colocar entre tu pc y tu acceso a internet, un equipo pfsense para poder tener acceso a los puertos o lugar que ahora no te funcionan

O sea, que ahora tienes:
(tu pc) --> (router proveedor) --> internet
Y quieres tener:
(tu pc) --> (pfsense) --> (router proveedor) --> internet

¿Es correcto?

carlosjavier10

Buen dia @lucasll , de ante mano muchas gracias, voy a responderte punto a punto a ver si aclaro bien el punto

• Tienes acceso a internet.-> Respuesta: Si de hecho dispongo de dos wan del mismo ISP pero independientes, suelen caerse (el servicio) expontaneamente, es decir a veces se cae una de las lineas y la otra si tiene conexion, entonces yo debo estar cambiando el cable de la pc, por eso la idea principal es usar el pfsense como balanceador de carga de alta disponibilidad.

• Pero que dicho acceso actualmente impide el acceso a ciertos puertos o lugares de internet.-> Respuesta: Correcto, de hecho lo tengo funcionando todo y funcionan bien a excepcion de cuando necesito abrir un cpanel, filezilla (en unico cliente ftp que uso) y cuando necesito entrar a un banco, entra e inmediatamente me saca de la pagina del banco.

• Lo que quieres es colocar entre tu pc y tu acceso a internet, un equipo pfsense para poder tener acceso a los puertos o lugar que ahora no te funcionan->Respuesta: si, y de hecho lo tengo funcionando pero no puedo entrar a los servicios que te mencione, claro tengo la duda si esto es algo que se soluciono en las siguientes versiones, o es un problema ya de la tecnologia ya que el la ultima version PFSense para x86 ó es la misma naturaleza del PFSense y debo aprender a abrir esos puertos, el caso es que he tratado pero sin efecto alguno.

Ahora tengo:
(tu pc)--> AP --> (pfsense) --> (router/ proveedor) --> internet X2

De lo que estuve leyendo PFsense tiene un servicio para ayudar con esto en el caso especifico de FTP "FTP Client Proxy" , Segun entendí, los servidores FTP luego de las primera conexion abren puertos aleatorios y este servicio ayudaba a los clientes, pero no entendi bien en que sentido ayuda, igualmente lo active y nada, y aunque lograra hacer que funcione me quedaria el problema con Cpanel y los bancos... yo podria hacer que abra todos los puertos y funcione solo como banlaceo de carga? igualmente sin el PFSENSE estoy expuesto!

lucasll

@carlosjavier10
Si ahora tu proveedor no te deja acceso a internet, seguirás sin acceso a internet cuando tengas pfsense antes del router de tus proveedores.
Quizás algo no te estoy entendiendo, disculpas si es el caso.

carlosjavier10

Si tengo conexion, de hecho estoy conectado ahorita mismo a travez del pfsense, el problema es cuando necesito usar filezilla, entrar a un cpanel de algun hosting, o cuando necesito usar la web de algun banco, no puedo entrar a ninguno de ellos si estoy detras del pfsense, para esos casos tengo que despegar el cable que va al pfsense a mi pc y conectarme a uno de los 2 isp directamente para puder usar los servicios que comente!

lucasll

@carlosjavier10
Hola.

• Revisa que en FIREWALL - RULES - LAN tengas reglas que permitan todo. Por defecto las que se crean al instalar (suele poner "default allow LAN to any rule"), sí permiten todo.
• Revisa SYSTEM - ROUTING - GATEWAYS. Aquí te aparecerán las dos conexiones de tus proveedores. Desactiva una de ellas y prueba el acceso a los sitios que ahora no puedes. Y después desactivas la otra y vuelves a probar. No tengo una configuración multiwan donde comprobarlo, pero en estos escenarios se puede configurar la forma de repartir el tráfico en multi wan: round robin, o failover o ese tipo de cosas. La documentación está aquí: mhttps://docs.netgate.com/pfsense/en/latest/routing/multi-wan.html#

carlosjavier10

Hola @lucasll ... nuevamente gracias por tu tiempo, .. para descartar problemas por usar la version vieja de 32bits, hice el empeño y instale ahora la ultima version en 64bits de PFSENSE comunity, y sigue igual, hoy me estoy dando cuenta que tampoco me deja actualizar plugins de wordpress! sé que es por el PFSENSE por q si me pego directo a cualquier WAN de las que dispongo me permite hacer todo sin problemas!, de lo que me dijiste si esta la regla en LAN que permite todo y tambien proble usando solo una WAN, el resultado es el mismo! entonces, que puedo hacer? debo implementar una regla que especifica y explicitamente habra todos los puertos para todos los host? no es lo que me gustaria pero lo que mas me interesa en la alta disponibilidad, como puedo entonces apagar, desactivar el firewall o permitir todo?

lucasll

@carlosjavier10
Disculpa, es que no acabo de comprender 100% los síntomas.

• Si te conectas, directo, con tu pc a uno de los routers de conexión a internet, te funciona correctamente. ¿Correcto?
• Si haces lo mismo pero al router de la otra conexión a internet, ¿te funciona o no?
• En un comentario mío anterior te comenté "Revisa que en FIREWALL - RULES - LAN ...". Veo en tu última captura de pantalla que tienes esa regla correcta.
• En un comentario mío anterior te comenté "Revisa SYSTEM - ROUTING - GATEWAYS ..." ¿Qué resultado te da esta prueba que te comenté?

lucasll

@carlosjavier10

Hola de nuevo.
Una configuración que puede ser adecuada en tu caso, pero que tienes que probar, es poner un proveedor como principal y el otro de backup. Todo irá vía el principal y sólo actuará el de backup si cae el principal.
Para ello, ves a SYSTEM - ROUTING - GATEWAYS GROUPS - en tu grupo de gateways en zona ACTIONS haz clic en EDITAR. A uno de los proveedores lo pones como TIER1 y al otro como TIER2. Con esta configuración, todo el tráfico sale por el proveedor con TIER1. Si TIER1 cae o no es accesible, pasará en unos segundos a salir todo el tráfico por TIER2 hasta que TIER1 se recupere.
Puedes hacer pruebas y comprobar el estado en STATUS - GATEWAYS - GATEWAYS y en STATUS - GATEWAYS - GATEWAYS GROUPS

carlosjavier10

Buen dia, @lucasll , nuevamente muchas gracias por tomar tiempo para responder, tratere de organizar mejor mis respuesta:
Si te conectas, directo, con tu pc a uno de los routers de conexión a internet, te funciona correctamente. ¿Correcto?
---> SI

Si haces lo mismo pero al router de la otra conexión a internet, ¿te funciona o no?
---> Con mi dos proveedores sí me conecto directamente funciona correctamente. el problema es cuando uso PFSENSE para balancearlas ya que aveces se cae una pero la otra sigue funcionando, sin el PFSense tengo que cambiar el cable 3 o 4 veces al dia por q espontanemente se cae una o la otra.

En un comentario mío anterior te comenté "Revisa que en FIREWALL - RULES - LAN ...". Veo en tu última captura de pantalla que tienes esa regla correcta.
---> Si la revise, y la verdad en esa parte es la q mas me enrredo por q no se mucho sobre sobre como hacer estas reglas, he tratado siguiendo ejemplo de algunos tutoriales pero no me han funcionado y las he borrado.

En un comentario mío anterior te comenté "Revisa SYSTEM - ROUTING - GATEWAYS ..." ¿Qué resultado te da esta prueba que te comenté?
---> Segun lo uqe veo! esta todo bien! en el dashboard mantego el estado los gateways y segun lo que creo! esta todo bien!!

La configuración que mencionas en el mensaje anterior a este, la probé pero el comportamiento es el mismo! no puedo usar ningun cliente FTP, ni entrar a ningun Cpanel, ni entrar a los las cuentas bancarias. lo ultimo que me di cuenta es que tampoco puedo actualizar ni descargar plugins de wordpress! pero es solo cuando estoy detras del PFSENSE, yo creo que es cuestion de abrir los puertos especificos en las reglas del firewall, pero como te dije! he tratado viendo tutoriales y nada! y para no fastidiar tanto pregunto! como puedo hacer para permitir todo ! de manera que PFSENSE funcione sólo como alta disponibilidad.

Como siempre muchas gracias por el tiempo prestado!

lucasll

@carlosjavier10
Prueba lo siguiente:

• En SYSTEM - ROUTING - GATEWAYS - DEFAULT GATEWAY --> aquí pon el grupo de gateways que has definido, que es LOAD_BALANCE
• En SYSTEM - GENERAL SETUP - DNS Server Settings - poner un dns para cada gateway. Es decir, si hay 2 gateways, poner 2 dns, cada dns usando un gateway.

Tras esto, haz las pruebas de nuevo. Pfsense por defecto tarda unos segundos en conmutar de un gateway a otro.
Además, cuando hagas las pruebas, desde tu pc cierra completamente el navegador y lo abres de nuevo, para que las reconexiones no se reusen
El estado lo puedes ver (ver refrescando con F5) en menú STATUS - GATEWAYS

carlosjavier10

Gracias @lucasll , una pregunta! tu no crees que eso este problema es mas bien ! con las reglas del firewall? es que yo puedo navegar, en este momento tengo mi pc conectada detras del pfsense, puedo ver facebook, youtube, netflix, TODO, lo que no puedo hacer es usar ningun cliente FTP, ni abrir ningun Cpanel de ningun hosting, no puedo entrar a mis cuentas de banco, ni actualizar ni descargar plugung de ningun sitio WORDPRESS de los que manejo! por lo demas el PFSENSE VA PERFETO, no tengo que cambiar cables por que me hace el balance de carga sin problemas, de todas formas voy a hacer lo que me recomiendas y te cuento! nuevamente muchas gracias por la ayuda!

lucasll

@carlosjavier10

Según tus reglas, tienes permitido todo.

Si fuera eso, lo puedes revisar en los logs de pfsense mirando a ver si algo está denegado.

No me queda claro la prueba de SYSTEM - ROUTING - GATEWAYS que te comenté. ¿Has hecho la prueba de poner y gateway como TIER1 y el otro como TIER2 y probar: apagando un router, esperar, probar, ver si conmuta el gateway, arrancar, ver que vuelve el gateway, esperar, desconectar el otro, e ir viendo los logs?

carlosjavier10

He colocado tier1 y tier 2, pero lo de apagar y probar no! voy a sacar el trabajo que tengo pendiente y luego voy a hacer esas pruebas que me comentas! muchas gracias @lucasll

lucasll

@carlosjavier10
Estupendo. Yo he montado un pequeño entorno para probar que eso (desconectar un router, ver que pfsense cambia, ... volver a conectar, ver que recupera el gateway principal, ... apagar el otro router, etc, etc) funciona y funciona ok. Insisto en que es un pequeño entorno y se observa cómo pfsense cambia el gateway y funciona la navegación. Una navegación básica.

j.sejo1

@carlosjavier10 De casualidad tienes habilitado el servicio de squid (proxy) transparente?