Pfsense sin internet en la lan



  • Hola a todos, tengo un problema con una nueva instalación de pfSense, os cuento:
    He comprado el siguiente hardware https://es.aliexpress.com/item/Mini-PC-Dual-Core-6-Ethernet-LAN-Router-Firewall-Intel-Celeron-1037U-pfSense-Fanless-Desktop-Computer/32813535721.html

    He instalado pfsense, he configurado todas las interfaces y tengo el siguiente problema:

    • Desde la GUI de pfsense puedo hacer ping a cualquier sitio de internet sin problemas.
    • Desde la LAN, puedo hacer ping a la puerta de enlace.
    • No tengo acceso a internet en la LAN, tengo configurado el DHCP y a los equipos conectados le asigna una dirección ip. Desde estos equipos, si hago un ping a cualquier sitio de internet, por ejemplo: www.google.es, veo que resuelve el nombre pero no llega a hacer el ping.

    En la LAN tengo una regla para permitir todo el tráfico a cualquier sitio.

    ¿Se os ocurre dónde puede estar el problema?


  • Rebel Alliance

    https://forum.pfsense.org/index.php?topic=23265.0

    Adjunta un Diagrama/Esquema (Detallado) de tu Red

    Y capturas de Pantalla, mostrando "cómo" tienes configurado tu pfSense…. y de allí partimos ;)



  • Estoy en un entorno de pruebas, porque tengo una configuración que restauraré más adelante, pero al problarla no funcionó con este hardware.

    Router con ip 192.168.31.1 –->Pfsense WAN IP 192.168.31.10 Asignada por DHCP. Desactivado los bloqueos de redes privadas en la WAN. Seleccionado este gateway como por defecto.
    Pfsense LAN em1 ---> IP 172.17.10.1 con servidor DHCP activo, DNS resolver activo.

    Desde Diagnósticos de pfsense puedo hacer ping a cualquier sitio.
    Desde una máquina conectada a la LAN, puedo hacer ping a la 172.17.10.1, si hago ping a www.google.es por ejemplo no me lo hace, pero si que veo la dirección ip, por lo que entiendo que resuelve.

    NAT automático.
    Reglas del firewall en la LAN : Permitir todo el tráfico a cualquier sitio y con cualquier puerto.

    He probado a desactivar el hardware checksum offload, porque en el servidor que tengo en producción, tiene que estar desactivado, pero con eso tampoco funciona.


  • Rebel Alliance

    Repito…. "Muestra" (adjunta Capturas de Pantalla) la configuración de tu pfSense.



  • Aquí van unas pocas capturas









  • Rebel Alliance

    ??? Además del Snort, algún otro paquete que hayas olvidado mencionar ?

    Sin el Snort tienes el mismo "problema" ?



  • @ptt:

    ??? Además del Snort, algún otro paquete que hayas olvidado mencionar ?

    Sin el Snort tienes el mismo "problema" ?

    No se me ha olvidado mencionarlo, simplemente no lo he hecho porque el servicio no está activo. Como he dicho, de primeras restauré la configuración que tengo en el pfsense en producción, pero al ver que no funcionaba, restauré los valores por defecto y estoy intentando hacer una configuración básica que funcione.
    Creo que el problema está en que no se está enrutando el tráfico de la LAN a la WAN, pero no estoy seguro y por eso pregunto por aquí.



  • Rebel Alliance

    Revisa la Documentación Oficial

    https://doc.pfsense.org/index.php/Main_Page

    https://doc.pfsense.org/index.php/Connectivity_Troubleshooting

    Algún "error en Capa 8" debes tener…. pero con la información provista difícil poder decir algo en concreto....



  • @ptt:

    Revisa la Documentación Oficial

    https://doc.pfsense.org/index.php/Main_Page

    https://doc.pfsense.org/index.php/Connectivity_Troubleshooting

    Algún "error en Capa 8" debes tener…. pero con la información provista difícil poder decir algo en concreto....

    No te diré que no, debe ser algo de la configuración, pero con una configuración básica realizada con el asistente, no funciona tampoco. Como he dicho, en otro hardware que tengo en producción, no he tenido problemas nunca, pero con este hardware no lo consigo.

    Tengo conectividad desde el pfsense hacia internet sin problemas. Desde un equipo de la lan al pfsense también.
    Con las capturas de las reglas que he puesto anteriormente, en principio debería funcionar sin mucho más.


  • Rebel Alliance

    Adjunta Capturas de pantalla del "dashboard"  de la Configuración de la LAN, de la Configuración del DHCP Server, y del "Outbound NAT"


  • Rebel Alliance

    Si haces "PING" a la IP 1.1.1.1, desde un Host de la LAN del pfSense, obtienes Respuesta ?

    Si haces un "Traceroute" a esa IP, desde un Host de la LAN del pfSense, hasta dónde llegas ?

    La IP 192.168.31.1, quién la Tiene (es el otro pfSense que mencionas) ?



  • @ptt:

    Si haces "PING" a la IP 1.1.1.1, desde un Host de la LAN del pfSense, obtienes Respuesta ?

    Si haces un "Traceroute" a esa IP, desde un Host de la LAN del pfSense, hasta dónde llegas ?

    La IP 192.168.31.1, quién la Tiene (es el otro pfSense que mencionas) ?

    La IP 192.168.31.1 es la del router del proveedor de servicios.
    Te adjunto una captura de tracert y ping a la dirección que dices, no llego desde un host de la lan.
    También te adjunto otra captura en donde se ve que está desactivado de la WAN el bloqueo de la red 192.168.0.0/16



    ![Wan reserved.PNG](/public/imported_attachments/1/Wan reserved.PNG)
    ![Wan reserved.PNG_thumb](/public/imported_attachments/1/Wan reserved.PNG_thumb)


  • Rebel Alliance

    A la IP 192.168.31.1 llegas, , desde un Host de la LAN del pfSense ? (PING)

    Si haces "PING" a la IP 8.8.8.8, desde un Host de la LAN del pfSense, obtienes Respuesta ?

    El Host de la LAN, desde el que realizas las pruebas, obtiene los parámetros (IP, GW, DNS, etc) correctos del DHCP Server ?  (ipconfig/all)



  • Desde un pc de la LAN sólo llego al pfsense (172.17.10.1).
    No llego a la 8.8.8.8 y sí, los parámetros IP, GW y DNS son correctos.

    Desde el Pfsense, dentro de Diagnóstico, utilizando la herramienta PING llego a cualquier sitio.


  • Rebel Alliance

    A la IP 192.168.31.1 (PING)  llegas, , desde un Host de la LAN del pfSense ?



  • Es algo de tu host. El traceroute muestra que tu PC no sabe como llegar a 8.8.8.8

    SEGURO que tienes el default gateway y la máscara de subred bien configuradas? Postea la salida de ipconfig /all



  • Descripción . . . . . . . . . . . . . . . : Qualcomm Atheros AR8151 PCI-E Gigabit Ethernet Controller (NDIS 6.30)
      Dirección física. . . . . . . . . . . . . :
      DHCP habilitado . . . . . . . . . . . . . : sí
      Configuración automática habilitada . . . : sí
      Dirección IPv4. . . . . . . . . . . . . . : 172.17.10.10(Preferido)
      Máscara de subred . . . . . . . . . . . . : 255.255.255.0
      Concesión obtenida. . . . . . . . . . . . : martes, 1 de mayo de 2018 0:55:07
      La concesión expira . . . . . . . . . . . : martes, 1 de mayo de 2018 2:55:08
      Puerta de enlace predeterminada . . . . . : 172.17.10.1
      Servidor DHCP . . . . . . . . . . . . . . : 172.17.10.1
      Servidores DNS. . . . . . . . . . . . . . : 172.17.10.1
      NetBIOS sobre TCP/IP. . . . . . . . . . . : habilitado


  • Rebel Alliance

    Con "Todos" los Hosts de la LAN del pfSense "tienes el mismo problema" ?

    Que marca/modelo de adaptador de Red utilizas en el pfSense para la LAN ?



  • Sí, le pasa lo mismo a todos. De hecho he cambiado la interfaz de red en la configuración por si fuese una interfaz de red que no está bien, pero el problema continúa.

    El pfsense tiene 6 x Intel 82583V