Problema con Multiwan

juancrm21 · Sep 6, 2016, 11:20 PM

Saludos Amigos;

Tengo un pfsense montado con 2 WAN y una LAN con Balanceo multiwan y algunas paginas de los bancos no abren… como puedo solucionar esto.... gracias de antemano

matiweertz · Sep 8, 2016, 1:19 PM

yo lo solucione creando una regla para que salgan directamente por una de las wan. Es decir identifica el rango de ip del banco en cuestión y creale un alias luego una regla que salga por uno de los gateway y no por el gateway group.

amnarl · Sep 8, 2016, 11:32 PM

Saludos mi estimado!!

Los tiros van mas o menos por donde indica el compañero.
Primero
Verificar que tienes bien creados y funcionando los gateway de cada una de tus wan.
Segundo debes crearte un alias de los bancos a los que acceden o pueden acceder tus clientes.
Tercero
Establecer una regla en tu lan siguiendo los parametros regulares para ello (de no conocerlos te invito a visitar la documentacion "Tutorial de pfsense" del maestro bellera donde habla de ello.), donde el trafico a los bancos salen solo y especificamente por uno de tus gateway. Recuerda que internet cada dia mas se esta migrando a HTTPS por temas de seguridad y la mayoria de sistema hoy dia no le gusta navegacion por proxy ni multiwan por ello no salen tus clientes a la webs de sus bancos.

Con estas pocas recomendaciones podrias solucionar el inconveniente planteado, quedo atento a su comunicacion.

juancrm21 · Sep 9, 2016, 12:15 AM

@matiweertz:

yo lo solucione creando una regla para que salgan directamente por una de las wan. Es decir identifica el rango de ip del banco en cuestión y creale un alias luego una regla que salga por uno de los gateway y no por el gateway group.

Segui tu consejo y voy a montar las captures a ver si es asi, soy nuevo en pfsense pero voy agarrando el hilo

juancrm21 · Sep 9, 2016, 12:24 AM

Muchachos aqui estan las captures de las indicaciones nose si estaran bien
Porfavor si pueden les agradeceria su ayuda

amnarl · Sep 10, 2016, 5:07 PM

Ok mi estimado veo que tienes la regla en cuestión creada y parece estar bien el único detalle que le noto que podría ser un inconveniente para usted es que no todos los bancos trabajan su sistema de gestion en puerto (443) que es https por defecto, algunos tiene el website en ese puerto y el sistema en otro puerto y esto ya me ha pasado en algunas configuraciones.

Por lo que recomiendo hacer un análisis de los bancos a los cuales accesan sus clientes y determinar los puertos en cuestión de los sistemas de dichos bancos.

Por cierto vi en su descripción que es de (yaracuy, venezuela) estamos relativamente cerca que bueno saber que cada día se suman mas a esta gran comunidad pfsense.

ptt · Sep 10, 2016, 8:45 PM

mmm… y la regla (LAN) debería tener como "Source" "any" y como "Destination" el alias "Bancos" ... digo, no.. ???

Personalmente, además, crearía un "GW Group" tipo "Fail Over" para los Bancos (en lugar de sólo enviarlos por 1 WAN) ;)

juancrm21 · Sep 11, 2016, 12:29 AM

@amnarl:

Ok mi estimado veo que tienes la regla en cuestión creada y parece estar bien el único detalle que le noto que podría ser un inconveniente para usted es que no todos los bancos trabajan su sistema de gestion en puerto (443) que es https por defecto, algunos tiene el website en ese puerto y el sistema en otro puerto y esto ya me ha pasado en algunas configuraciones.

Por lo que recomiendo hacer un análisis de los bancos a los cuales accesan sus clientes y determinar los puertos en cuestión de los sistemas de dichos bancos.

Por cierto vi en su descripción que es de (yaracuy, venezuela) estamos relativamente cerca que bueno saber que cada día se suman mas a esta gran comunidad pfsense.

Gracias, por tu comentario y en efecto la regla solo funciona para 2 de los 3 bancos que tienen problemas para entrar y a pesar de monitorear con el comando netstat no logro identificar el puerto del sistema del banco que me falta, que otra forma de identificar ese puerto podria aplicar?? gracias de antemano paisano…

amnarl · Sep 11, 2016, 2:18 AM

Saludos ptt

Tienes toda la razon al momento de revisar el post del compañero ni lo note jejeje en ese caso la regla esta mal en lan. :'(

como indica el compañero ptt la regla en "Source" debe poseer o any para habilitar a cualquier equipo de tu lan, tambien en caso de trabajar por separado los usuarios o por alias en ese caso iria el alias de esos clientes. En fin en esta parte debe ir colocado el usuario o pc origen …. y en Destination va el alias de las ips de esos bancos …

Por otro lado lo que indicas de identificar puertos en los que trabaja el banco es sencillo entra en la web del banco en cuestion e intenta acceder a su sistema bien sea por la opcion persona o empresa el link que este publicado alli te dira si usan otro socket que no sea el por defecto para su sistema interno. Por ejemplo el banco sofitasa

Esta es su web!!

Cuando haces clic en personas por ejemplo mira lo que muestra

Primeramente cambia de dominio de sofitasa.com a sofinet.com.ve y no solo eso sino que lo que te estoy marcando conecta a sofinet,com.ve primeramente en https y lo otro es que lo hace por el puerto 4443 esos datos debes tenerlo en cuenta a la hora de establecer la regla ya que de otra forma si habilitas solo conexion al puerto 443 (https) tu cliente no llegara a la web del sistema del banco en este caso sofitasa.

Asi debes verificar el acceso a los bancos para tus clientes o en el peor de los caso no tan seguro es que le des acceso a cualquier puerto bien sea tanto en origen como destino siempre guardando el tema del gateway el cual debe ser uno solo

Espero me entiendas la idea de tu caso..

Estoy atento a tus comentarios

juancrm21 · Sep 21, 2016, 11:20 PM

muchachos buenas noches, disculpen la tardanza aqui les dejo el alias de los bancos en cuestion y la regla en lan les informo que a veces funciona y otras no la verdad que no se que hacer para que funcione definitivamente, de antemano les doy las gracias y por favor ayuda…