El propio servidor no sale a internet pero sí los equipos de la LAN



  • Hola, quería intentar resolver un problema que tengo a ver si alguien puede ayudarme con algo de información.
    Tengo un equipo configurado con la versión 2.3.2-RELEASE. Tiene 2 interfaces conectadas, una LAN y una WAN.
    Las direcciones de IP son las siguientes:
    WAN - 192.168.1.1-255.255.255.0 - GW 192.168.1.99 (Router de Telefónica)
    LAN - 192.168.0.1-255.255.255.0
    La configuración de la Fibra necesita que configure SNAT con la dirección ip externa asignada por Movistar que es la 212…...
    Tengo una sola Gateway configurada que es la 192.168.1.99 y en ese router redireccionan todo el tráfico a nuestra ip 192.168.1.1.
    Pues bien, con esa configuración conseguimos salir a internet con todos los equipos conectados en la LAN sin ningún problema, pero el mismo equipo no sale a internet, con lo cual no puedo instalar paquetes ya que recibo el error "Unable to retrieve package information."
    El mapeo de puertos para el uso de servidores dentro de la LAN funciona correctamente.
    Mando un pantallazo de las reglas de OUTBOUND configuradas.
    Si alguien puede echar una mano lo agradezco.
    Muchas gracias de antemano.



  • @franae:

    La configuración de la Fibra necesita que configure SNAT con la dirección ip externa asignada por Movistar que es la 212…...

    Esa IP pública quien la tiene es el lado WAN del enrutador de Telefónica.

    GW 192.168.1.99 (Router de Telefónica)

    No le veo sentido al NAT Outbound que haces. Es el enrutador de Telefónica el que traduce a su IP pública.



  • Hola Bellera,

    El router de Telefónica es el que tiene enrutada la ip pública, pero nosotros al salir tenemos que especificar con que ip salimos, por eso tengo configurada esa Outbound. La cosa es que todo funciona correctamente siempre que conecte a internet desde cualquier equipo detrás de nuestra LAN, pero el FW en sí no sale a Internet.
    Anteriormente tenía esta misma configuración con un FW montado utilizando Zentyal, pero cuando lo he cambiado a PFSense me e encontrado con este problema.
    Alguna sugerencia al respecto y poder hacer algunas pruebas? El inconveniente que tengo es que no puedo instalar paquetes ni comprobar si el equipo está actualizado.
    Gracias y saludos



  • traceroute pfsense.org desde consola de pfsense o desde las herramientas que lleva la WebGUI para hacerlo.

    traceroute pfsense.org desde un equipo en la LAN.



  • Envío las imágenes de traceroute desde un pc en la LAN y desde la consola del proxy. También un ping desde el WebGUI del proxy.

    Como explico, tengo acceso a internet desde los equipos de la LAN pero no desde el mismo proxy. Es posible que el motivo sea la NAT, pero he tratado de hacer varios cambios sin éxito.

    Gracias por la ayuda…








  • ¿Y qué passa si dejas el NAT Outbound en automático?



  • Hola,
    Si lo dejo en automático nadie puede salir a internet ya que hay que especificar exactamente la ip externa de Movistar con la que tenemos que salir. Y si lo pongo hybrid, salimos a internet, pero sigo teniendo la problemática de la salida  a internet desde el FW.

    Creo que el problema es que el mismo FW cuando sale a internet no utiliza la outbound configurada, no encuentro otra explicación.

    Alguna sugerencia?

    Muchas gracias por tu ayuda.



  • @franae:

    Creo que el problema es que el mismo FW cuando sale a internet no utiliza la outbound configurada, no encuentro otra explicación.

    En eso estoy de acuerdo.

    Lo raro es que el enrutador de Movistar no haga NAT saliente. Resulta curiosa la configuración.

    Miro cómo se monta esto de los NAT salientes en pfSense.



  • Mira si puedes meter el alias (interno) tonatsubnets como source a tu regla de NAT Outbound manual.

    Si no te deja (por ser interno de pfSense), especifica LAN net como source. Y añade otra regla igual donde source sea 127.0.0.0/8

    A ver si eso resuelve el problema.

    Lo que hace pfSense con los NATs se ve con el comando

    pfctl -s nat
    


  • Hola
    Si no es mucha molestia podrías poner un diagrama de como era tu red antes de pfsense y otro con pfsense, porque tengo entendido



  • Hola de nuevo,

    No me deja crear esa regla de tonatsubnets, la Lan Net no me aparece en la lista desplegable, así que tendría que poner el rango de ip, pero también me da error.

    Por defecto cuando el servidor quiere salir a internet, sale utilizando su propia Lan, cierto? Porque lo cierto es que resolver nombres DNS si que lo hace, ya que le tengo configurado un DNS server de mi LAN además del 127.0.0.1

    He intentado configurar una Outbound en la que especifico el source This Firewall (self), pero igual. No me lo saca.

    Si el FW sale a internet utilizando su propia ip interna, entiendo que la regla OUTBOUND que tengo configurada debería estar funcionando, ya que lo está haciendo si sale cualquier otra ip de la LAN, por ejemplo un equipo con la ip 192.168.0.2 con GW 192.168.0.1, sale a internet perfectamente.

    Alguna otra sugerencia, por favor?

    Gracias por la ayuda.



  • @franae:

    Por defecto cuando el servidor quiere salir a internet, sale utilizando su propia Lan, cierto?

    No. Sale con NAT Outbound en modo automático. Esto quiere decir que la IP que ve es la que tiene la WAN (WAN address) y sólo esa.

    Cuando pasas de modo automático a manual te copia las reglas automáticas al modo manual para poderlas editar.

    Pienso que simplemente tienes que cambiar tu WAN address en esas reglas por tu IP pública. Ver imagen.

    Eso debería funcionar. Las reglas incluyen 127.0.0.0/8 y LAN net (192.168.100.0/24 en el ejemplo).

    ![Captura de 2016-10-25 19:43:42.png](/public/imported_attachments/1/Captura de 2016-10-25 19:43:42.png)
    ![Captura de 2016-10-25 19:43:42.png_thumb](/public/imported_attachments/1/Captura de 2016-10-25 19:43:42.png_thumb)



  • Hola,
    He quitado la regla de outbound que tenía puesta y he configurado la NAT de forma automática. Después he vuelto a cambiar a manual y  he asignado la dirección ip externa para que tenemos para salir a internet.

    El resultado es que ahora tengo las 4 reglas de outbound que muestra en la imagen anterior, pero con la IP Publica, y podemos salir a internet de igual manera que antes en todos los equipos de la LAN.

    De lo contrario, el mismo servidor sigue sin poder conectar a internet o hacer ping a ninguna ip del exterior. Pero algo que si ha cambiado es que podemos hacer ping a la ip de GW, cosa que antes no se podía hacer.

    No se que más probar ya.

    Acepto cualquier sugerencia para hacer mis pruebas.

    Muchas gracias por la ayuda



  • Hola, en este caso, el problema de que el servidor no pueda acceder a internet es un gran inconveniente ya que no puedo activar el Squid Proxy porque no puede acceder a las URL solicitadas por los usuarios de la red.

    Tengo otro equipo antiguo que ya no uso y estaba configurado como proxy con una versión antigua de Zentyal. Lo he conectado tal cual estaba configurado y ha comenzado a funcionar perfectamente y desde dicho equipo si que puedo salir a internet, comprobado con ping, traceroute, etc.
    Esto me demuestra que no es una mala configuración del router de telefónica.

    Alguna sugerencia para poder intentar solucionar mi problema?
    Salu2



  • En esta imagen muestro el escenario de nuestra Red.

    El router de movistar tiene una Lan configurada con la ip 192.168.1.99 y es nuestra puerta de enlace para salir a internet. Dicho router recoge las conexiones que nos llegan en nuestra ip pública y reenvía todo el tráfico a nuestra WAN IP de nuestro firewall que es la 192.168.1.1
    De esa forma, podemos administrar fácilmente el redireccionamiento de puertos hacia nuestros servidores internos.

    Con la configuración que tenemos, en la que he configurado en NAT la salida con nuestra ip pública, todos los equipos de nuestra LAN pueden ir a internet sin ningún problema, además de que el port forward está funcionando perfectamente.
    Pero es el mismo FW en sí el que no puede salir a internet.

    He instalado una versión antigua de Zentyal 3.5 y he creado la misma configuración de escenario, y ha funcionado correctamente. Así que está claro que el problema no está en la configuración del router de Movistar. He hablado con ellos y me han comentado que el router hace bypass directo a la WAN ip de nuestro FW.

    Alguna sugerencia al respecto?

    Gracias y saludos

    ![network .png](/public/imported_attachments/1/network .png)
    ![network .png_thumb](/public/imported_attachments/1/network .png_thumb)



  • @bellera:

    Lo que hace pfSense con los NATs se ve con el comando

    pfctl -s nat
    

    Por favor, salida del comando en el pfSense actual y en el viejo (que dices que funciona).


Log in to reply