Problema con PFsense, MAC y portal cautivo
-
Hola a todos.
Antes de empezar , es mi 1º post y aunque tengo ya bastante empollado es la primera vez que escribo en este foro.Gracias a tod@s los que lo haceis posible ;).
Escribo porque tengo un problema y no se cual es la manera o la mejor manera para solucionarlo.
Estoy usando pfsense solo para usarlo como portal cautivo sin autentificación . Donde los usuarios que conectan a la wifi, se les abre la invitación y una vez acepten se les redirige a otra url donde se le solicita un mail y se guarda en una BBDD MSSQL. La 2º URL esta en otro host en la red local, junto a el motor de base de datos SQL.
En el equipo donde esta la 2º WEB y la BBDD conecto mediante Teamviewer para comprobar las entradas.
El problema es que para que este equipo tenga acceso permanente a internet e puesto la mac del equipo en el apartado MAC del portal cautivo y funcionar funciona pero (sospecho) que cuando el Idle timeout o el hard timeout del portal cautivo se cumple. pierdo conexión hacia ese equipo. No puedo acceder por teamviewer ni los usuarios que hacen login pueden llegar a la 2º WEB para introducir su correo.
Si pongo la IP del equipo en "allowed ip address" no me funciona el portal cautivo y todos pasan sin problemas y si pongo la MAC del equipo pues llegado el momento, pierdo acceso.
Me gustaría encontrar la forma de no perder conexión con este equipo a lo largo el tiempo, pero parece que no funciona.
La versión de pfsense que uso es la 2.3.3-RELEASE-p1. y todos los puntos wifi y el equipo con la BBDD están en la parte LAN y en la WAN solo el router que da salida a internet.
Gracias.
Un saludo -
Voy a exponer lo que yo hago con un router o incluso con el pfsense y siempre funciona.
En cualquier enrutador y/o pfSense, cuando tiene activo el DHCP, se le debe poner los rangos de inicio y fin. En mi caso, cuando realizo trabajos en PYMES o medianas empresas, lo que hago es reservar un rango de IPs para uso interno. Por ejemplo, tomando como rango los normales que manejan los router de 192.168.X.X, en este caso tomemos que sería 192.168.1.1, se sabe de antemano que esa es la IP de administración del router o del pfsense. Ahora lo que hago es configurar el rango dejándo fuera los que voy a administrar por mi cuenta 192.168.1.11 - 192.168.1.50.
Eso quiere decir que se va a entregar IPs a partir de la 11 hasta la 50, o sea, 40 IPs. Dejo por fuera de la 2 hasta la 10 y de la 51 hasta la 254 que en este caso no me importa el segundo rango.
Ahora lo que se hace es dejar por ejemplo equipos servidores de dominio, Access Point, Router, Impresoras y demás con una IP fija entre la 2 y la 10, pero si voy a ocupar más, lógicamente acomodo el rango que voy a necesitar.
Haciendo eso de esta forma, le asignar una IP fíja a cada dispositivo fuera de lo que administraría el router y/o pfSense y por lo tanto, no deberías tener problemas.
-
Esta raro, yo así tengo todos mis clientes, los libero por mac, y nunca pierden conexión, debes tener otro tipo de problema, si esta atrás de un router, checa que el router no pierda la conexión, reinicie o caiga de algún tipo, el router si le deja ver la mac libremente?, osea esta en modo puente, solo como duda ¿como recuperas la conexión después de que la pierdes?
-
Voy a exponer lo que yo hago con un router o incluso con el pfsense y siempre funciona.
En cualquier enrutador y/o pfSense, cuando tiene activo el DHCP, se le debe poner los rangos de inicio y fin. En mi caso, cuando realizo trabajos en PYMES o medianas empresas, lo que hago es reservar un rango de IPs para uso interno. Por ejemplo, tomando como rango los normales que manejan los router de 192.168.X.X, en este caso tomemos que sería 192.168.1.1, se sabe de antemano que esa es la IP de administración del router o del pfsense. Ahora lo que hago es configurar el rango dejándo fuera los que voy a administrar por mi cuenta 192.168.1.11 - 192.168.1.50.
Eso quiere decir que se va a entregar IPs a partir de la 11 hasta la 50, o sea, 40 IPs. Dejo por fuera de la 2 hasta la 10 y de la 51 hasta la 254 que en este caso no me importa el segundo rango.
Ahora lo que se hace es dejar por ejemplo equipos servidores de dominio, Access Point, Router, Impresoras y demás con una IP fija entre la 2 y la 10, pero si voy a ocupar más, lógicamente acomodo el rango que voy a necesitar.
Haciendo eso de esta forma, le asignar una IP fíja a cada dispositivo fuera de lo que administraría el router y/o pfSense y por lo tanto, no deberías tener problemas.
Acabo de limitar el rango de Dhcp por si fuera por ahí el fallo también.
Gracias@ZAC:
Esta raro, yo así tengo todos mis clientes, los libero por mac, y nunca pierden conexión, debes tener otro tipo de problema, si esta atrás de un router, checa que el router no pierda la conexión, reinicie o caiga de algún tipo, el router si le deja ver la mac libremente?, osea esta en modo puente, solo como duda ¿como recuperas la conexión después de que la pierdes?
En la documentación del pfsense https://doc.pfsense.org/index.php/Captive_Portal
Pone lo siguiente:
Pass-Through MAC Tab
Allows managing a list of MAC addresses which are allowed to bypass the portal.
When specified by MAC address in this way, the client's IP address may change and they will still be allowed through. However, the client will still be disconnected after the captive portal timeout period has elapsed.
Por eso imaginé que el fallo fuera por ahí.
Yo en "Idle timeout", tengo puesto 20 minutos y en "Hard timeout" 120minutos.
Básicamente para que los clientes pierdan conexión si no usan la wifi.La desconexión me la hace después de un tiempo de inactividad.. . Por ejemplo si dejo un ping continuo realizándose desde el equipo no pierdo conexión, es cerrar el ping continuo y no pasa dos días sin que pierda conexión y tenga que reiniciar el equipo.
Cuando me pasa esto . Reinicio el equipo donde tengo el pfsense y recupero conexión.
Gracias -
Services/Captive Portal/cpzone/MACs
Edit MAC Address Rules
Action: pass
Choose what to do with packets coming from this MAC address.
MAC Address
xx:xx:xx:xx:xx:xx
Copy My MAC
6 hex octets separated by colons
Description
A description may be entered here for administrative reference (not parsed)
Bandwidth up
Enter an upload limit to be enforced on this MAC in Kbit/s
Bandwidth down
Enter a download limit to be enforced on this MAC in Kbit/s
Solo lleno esa parte y jamás e tenido que reiniciar el pfsense, y en mi configuración lo tengo así.
Idle timeout (Minutes)
20
Clients will be disconnected after this amount of inactivity. They may log in again immediately, though. Leave this field blank for no idle timeout.
Hard timeout (Minutes)
60
Clients will be disconnected after this amount of time, regardless of activity. They may log in again immediately, though. Leave this field blank for no hard timeout (not recommended unless an idle timeout is set).Pero eso solo aplica a los usuarios que pasan por el portal, los que tienen paso no hay problema alguna con esta configuración.
-
Gracias por las respuestas.
Revisare todo de nuevo a ver que puede estar pasando.
Si el apartado de MAC debe de dar acceso permanente no se que puede ser.Un Saludo
-
hola a todos, por favor si alguien pudiera ayudarme tengo creada una cuanta MX con mi dominio para mi servidor de correo el tema es que a través del pf sense los correos salen perfectamente bien pero no me entran, y sé que el error está en la configuración del mismo porque le puse una tarjeta de video al server de correo y lo conecte directo a router y entran y salen bien los correos por favor si alguien supiera que hacer en el pfsense para que me deje entrar los correo gracias.
-
hola a todos, por favor si alguien pudiera ayudarme tengo creada una cuanta MX con mi dominio para mi servidor de correo el tema es que a través del pf sense los correos salen perfectamente bien pero no me entran, y sé que el error está en la configuración del mismo porque le puse una tarjeta de video al server de correo y lo conecte directo a router y entran y salen bien los correos por favor si alguien supiera que hacer en el pfsense para que me deje entrar los correo gracias.
Abre un hilo nuevo para tratar tu problema, nos desvirtúar otros hilos.