El propio servidor no sale a internet pero sí los equipos de la LAN
-
Hola,
Si lo dejo en automático nadie puede salir a internet ya que hay que especificar exactamente la ip externa de Movistar con la que tenemos que salir. Y si lo pongo hybrid, salimos a internet, pero sigo teniendo la problemática de la salida a internet desde el FW.Creo que el problema es que el mismo FW cuando sale a internet no utiliza la outbound configurada, no encuentro otra explicación.
Alguna sugerencia?
Muchas gracias por tu ayuda.
-
Creo que el problema es que el mismo FW cuando sale a internet no utiliza la outbound configurada, no encuentro otra explicación.
En eso estoy de acuerdo.
Lo raro es que el enrutador de Movistar no haga NAT saliente. Resulta curiosa la configuración.
Miro cómo se monta esto de los NAT salientes en pfSense.
-
Mira si puedes meter el alias (interno) tonatsubnets como source a tu regla de NAT Outbound manual.
Si no te deja (por ser interno de pfSense), especifica LAN net como source. Y añade otra regla igual donde source sea 127.0.0.0/8
A ver si eso resuelve el problema.
Lo que hace pfSense con los NATs se ve con el comando
pfctl -s nat
-
Hola
Si no es mucha molestia podrías poner un diagrama de como era tu red antes de pfsense y otro con pfsense, porque tengo entendido -
Hola de nuevo,
No me deja crear esa regla de tonatsubnets, la Lan Net no me aparece en la lista desplegable, así que tendría que poner el rango de ip, pero también me da error.
Por defecto cuando el servidor quiere salir a internet, sale utilizando su propia Lan, cierto? Porque lo cierto es que resolver nombres DNS si que lo hace, ya que le tengo configurado un DNS server de mi LAN además del 127.0.0.1
He intentado configurar una Outbound en la que especifico el source This Firewall (self), pero igual. No me lo saca.
Si el FW sale a internet utilizando su propia ip interna, entiendo que la regla OUTBOUND que tengo configurada debería estar funcionando, ya que lo está haciendo si sale cualquier otra ip de la LAN, por ejemplo un equipo con la ip 192.168.0.2 con GW 192.168.0.1, sale a internet perfectamente.
Alguna otra sugerencia, por favor?
Gracias por la ayuda.
-
Por defecto cuando el servidor quiere salir a internet, sale utilizando su propia Lan, cierto?
No. Sale con NAT Outbound en modo automático. Esto quiere decir que la IP que ve es la que tiene la WAN (WAN address) y sólo esa.
Cuando pasas de modo automático a manual te copia las reglas automáticas al modo manual para poderlas editar.
Pienso que simplemente tienes que cambiar tu WAN address en esas reglas por tu IP pública. Ver imagen.
Eso debería funcionar. Las reglas incluyen 127.0.0.0/8 y LAN net (192.168.100.0/24 en el ejemplo).
![Captura de 2016-10-25 19:43:42.png](/public/imported_attachments/1/Captura de 2016-10-25 19:43:42.png)
![Captura de 2016-10-25 19:43:42.png_thumb](/public/imported_attachments/1/Captura de 2016-10-25 19:43:42.png_thumb) -
Hola,
He quitado la regla de outbound que tenía puesta y he configurado la NAT de forma automática. Después he vuelto a cambiar a manual y he asignado la dirección ip externa para que tenemos para salir a internet.El resultado es que ahora tengo las 4 reglas de outbound que muestra en la imagen anterior, pero con la IP Publica, y podemos salir a internet de igual manera que antes en todos los equipos de la LAN.
De lo contrario, el mismo servidor sigue sin poder conectar a internet o hacer ping a ninguna ip del exterior. Pero algo que si ha cambiado es que podemos hacer ping a la ip de GW, cosa que antes no se podía hacer.
No se que más probar ya.
Acepto cualquier sugerencia para hacer mis pruebas.
Muchas gracias por la ayuda
-
Hola, en este caso, el problema de que el servidor no pueda acceder a internet es un gran inconveniente ya que no puedo activar el Squid Proxy porque no puede acceder a las URL solicitadas por los usuarios de la red.
Tengo otro equipo antiguo que ya no uso y estaba configurado como proxy con una versión antigua de Zentyal. Lo he conectado tal cual estaba configurado y ha comenzado a funcionar perfectamente y desde dicho equipo si que puedo salir a internet, comprobado con ping, traceroute, etc.
Esto me demuestra que no es una mala configuración del router de telefónica.Alguna sugerencia para poder intentar solucionar mi problema?
Salu2 -
En esta imagen muestro el escenario de nuestra Red.
El router de movistar tiene una Lan configurada con la ip 192.168.1.99 y es nuestra puerta de enlace para salir a internet. Dicho router recoge las conexiones que nos llegan en nuestra ip pública y reenvía todo el tráfico a nuestra WAN IP de nuestro firewall que es la 192.168.1.1
De esa forma, podemos administrar fácilmente el redireccionamiento de puertos hacia nuestros servidores internos.Con la configuración que tenemos, en la que he configurado en NAT la salida con nuestra ip pública, todos los equipos de nuestra LAN pueden ir a internet sin ningún problema, además de que el port forward está funcionando perfectamente.
Pero es el mismo FW en sí el que no puede salir a internet.He instalado una versión antigua de Zentyal 3.5 y he creado la misma configuración de escenario, y ha funcionado correctamente. Así que está claro que el problema no está en la configuración del router de Movistar. He hablado con ellos y me han comentado que el router hace bypass directo a la WAN ip de nuestro FW.
Alguna sugerencia al respecto?
Gracias y saludos
![network .png](/public/imported_attachments/1/network .png)
![network .png_thumb](/public/imported_attachments/1/network .png_thumb) -
Lo que hace pfSense con los NATs se ve con el comando
pfctl -s nat
Por favor, salida del comando en el pfSense actual y en el viejo (que dices que funciona).