CP+Radius y problema con rutas estaticas

kolomalo

Buenas, ya publique este problema hace tiempo pero en el foro en Ingles (no me fije que habia en español… :D)

http://forum.pfsense.org/index.php/topic,9195.msg53400.html

El caso resumido es k tengo varios routers y cada uno va a una red diferente y kiero k el pfsense me haga de filtro, portal, enrutador, etc. pero si activo el portal no funcionan las rutas estaticas, si lo desactivo va todo al pelo. A alguien mas le ha pasado? alguna solucion?

De momento para solventar esto lo k hago es usar el pfsense solo para la salida a internet, y las demas redes las gestiono con rutas estaticas en los PCs, cosa k no mola nada, ya que a pesar de tenerlas persistentes a algunos equipos se les van y como los usuarios no son administradores pues me toca ir a ponerselas cada cierto tiempo, un rollo.

Bueno espero k alguien sepa la solucion a esto. Gracias!!!!

bellera

¡Hola!

Por alguna parte de la documentación dice que no se deben hacer rutas estáticas entre las subredes de pfSense. Según tu esquema:

10.100.0.1 (Internet)  10.100.0.2 (ISP VPN VoIP)  10.100.0.3 (ISP VPN)  10.100.0.4 (ISP VPN)
                 |                                  |                                   |                             |
                 |                                  |                                   |                             |
                 –-----------------------------------|------------------------------------
                                                                     |
                                                               10.100.0.254
                                                                  pfSense
                                                                10.1.3.254
                                                                      |
                                                                      |
                                                           LAN 10.1.0.0/16

creo que tienes que quitar las rutas estáticas en pfSense (y en los equipos) y establecer reglas en LAN donde diga que si el destino es tal rango se salga por la correspondiente gateway (10.100.0.1, 10.100.0.2, 10.100.0.3, 10.100.0.4).

Saludos,

Josep Pujadas

kolomalo

Gracias!!! lo probaré y veré que tal resulta

Saludos

kolomalo

Hola de nuevo.

He intentado probar eso y tengo una duda: Cuando te refieres a reglas ¿es en el cortafuegos? porque alli solo me deja elegir el gateway por defecto, de hecho salen dos opciones: Default, que usa las tablas de enrutamiento (logico), o el enrutador por defecto de la wan,no me deja poner el k yo kiera. La unica forma de que me funcione es estableciendo rutas estaticas (que es como deberia hacerse, para eso actua de enrutador ¿no?), y el caso es que funciona perfectamente, solo que al activar el Captive Portal se va todo a la mierda…. no entiendo porque, y parece que ellos tampoco porque me dejaron con la duda a mitad de resolucion :(

Las rutas estaticas que hago son para que se pueda acceder a redes fuera de mi instalacion, que tienen como gateways los routers cuyas direcciones ips son las que apunto en el esquema, si no es imposible que pfsense, o los equipos, sepan como acceder a ellas. Lo de que no deben hacerse rutas estaticas entre subredes de pfsense entiendo que se refiere a subredes a las que pfsense tiene acceso fisicamente, por estar conectadas a alguna interfaz suya.. ¿me equivoco?  ???

Me fastidia porque lo tengo todo montado de puta madre y me encanta este programa y la opcion que mas necesito, que es el CP, lo jode todo, y creo que voy a tener que cambiar de solucion, seguramente sacrificando ventajas que tiene pfsense :(

Lo raro es que funciona la VPN, que seguro usa tambien las tablas de enrutamiento, y sin embargo lo otro no va...  :'(

No veo logico que por activar el CP dejen de funcionar cosas a mas bajo nivel como las rutas...

Bueno imagino k sera algun bug, aun asi si se t ocurre algo pues t lo agradecere enormemente.

Gracias por tu ayuda.

bellera

¡Hola!

porque alli solo me deja elegir el gateway por defecto, de hecho salen dos opciones: Default, que usa las tablas de enrutamiento (logico), o el enrutador por defecto de la wan,no me deja poner el k yo kiera.

Tienes razón. Sólo deja poner default i la gateway que hayas puesto a WAN.

Se me ocurren dos soluciones, ninguna de ellas ideal:

1. Hacer lo que te dije, poniendo la gateway por defecto de la WAN en las reglas del lado LAN de pfSense. Guardar config.xml y editarlo, cambiando la IP de la gateway por las distintas IPs que tienes. Volver a cargar config.xml. Creo que tendría que funcionar. La pega es que cada vez que edites reglas el invento se irá al garete y tendrás que volver a hacer lo maniobra del config.xml.

2. Poner otro pfSense por delante del que tienes que sólo se ocupe del portal cautivo.

Saludos,

Josep Pujadas

kolomalo

Buenas, gracias por responder.

La opcion de poner otro pfsense era la que estaba barajando… bueno ya vere que hago, y lo expondre por aqui.

Gracias por tu ayuda!!!!