Pfsense sin internet en la lan

jupesag

Hola a todos, tengo un problema con una nueva instalación de pfSense, os cuento:
He comprado el siguiente hardware https://es.aliexpress.com/item/Mini-PC-Dual-Core-6-Ethernet-LAN-Router-Firewall-Intel-Celeron-1037U-pfSense-Fanless-Desktop-Computer/32813535721.html

He instalado pfsense, he configurado todas las interfaces y tengo el siguiente problema:

• Desde la GUI de pfsense puedo hacer ping a cualquier sitio de internet sin problemas.
• Desde la LAN, puedo hacer ping a la puerta de enlace.
• No tengo acceso a internet en la LAN, tengo configurado el DHCP y a los equipos conectados le asigna una dirección ip. Desde estos equipos, si hago un ping a cualquier sitio de internet, por ejemplo: www.google.es, veo que resuelve el nombre pero no llega a hacer el ping.

En la LAN tengo una regla para permitir todo el tráfico a cualquier sitio.

¿Se os ocurre dónde puede estar el problema?

ptt

https://forum.pfsense.org/index.php?topic=23265.0

Adjunta un Diagrama/Esquema (Detallado) de tu Red

Y capturas de Pantalla, mostrando "cómo" tienes configurado tu pfSense…. y de allí partimos ;)

jupesag

Estoy en un entorno de pruebas, porque tengo una configuración que restauraré más adelante, pero al problarla no funcionó con este hardware.

Router con ip 192.168.31.1 –->Pfsense WAN IP 192.168.31.10 Asignada por DHCP. Desactivado los bloqueos de redes privadas en la WAN. Seleccionado este gateway como por defecto.
Pfsense LAN em1 ---> IP 172.17.10.1 con servidor DHCP activo, DNS resolver activo.

Desde Diagnósticos de pfsense puedo hacer ping a cualquier sitio.
Desde una máquina conectada a la LAN, puedo hacer ping a la 172.17.10.1, si hago ping a www.google.es por ejemplo no me lo hace, pero si que veo la dirección ip, por lo que entiendo que resuelve.

NAT automático.
Reglas del firewall en la LAN : Permitir todo el tráfico a cualquier sitio y con cualquier puerto.

He probado a desactivar el hardware checksum offload, porque en el servidor que tengo en producción, tiene que estar desactivado, pero con eso tampoco funciona.

ptt

Repito…. "Muestra" (adjunta Capturas de Pantalla) la configuración de tu pfSense.

jupesag

Aquí van unas pocas capturas

ptt

??? Además del Snort, algún otro paquete que hayas olvidado mencionar ?

Sin el Snort tienes el mismo "problema" ?

jupesag

@ptt:

??? Además del Snort, algún otro paquete que hayas olvidado mencionar ?

Sin el Snort tienes el mismo "problema" ?

No se me ha olvidado mencionarlo, simplemente no lo he hecho porque el servicio no está activo. Como he dicho, de primeras restauré la configuración que tengo en el pfsense en producción, pero al ver que no funcionaba, restauré los valores por defecto y estoy intentando hacer una configuración básica que funcione.
Creo que el problema está en que no se está enrutando el tráfico de la LAN a la WAN, pero no estoy seguro y por eso pregunto por aquí.

ptt

Revisa la Documentación Oficial

https://doc.pfsense.org/index.php/Main_Page

https://doc.pfsense.org/index.php/Connectivity_Troubleshooting

Algún "error en Capa 8" debes tener…. pero con la información provista difícil poder decir algo en concreto....

jupesag

@ptt:

Revisa la Documentación Oficial

https://doc.pfsense.org/index.php/Main_Page

https://doc.pfsense.org/index.php/Connectivity_Troubleshooting

Algún "error en Capa 8" debes tener…. pero con la información provista difícil poder decir algo en concreto....

No te diré que no, debe ser algo de la configuración, pero con una configuración básica realizada con el asistente, no funciona tampoco. Como he dicho, en otro hardware que tengo en producción, no he tenido problemas nunca, pero con este hardware no lo consigo.

Tengo conectividad desde el pfsense hacia internet sin problemas. Desde un equipo de la lan al pfsense también.
Con las capturas de las reglas que he puesto anteriormente, en principio debería funcionar sin mucho más.

ptt

Adjunta Capturas de pantalla del "dashboard"  de la Configuración de la LAN, de la Configuración del DHCP Server, y del "Outbound NAT"

ptt

Si haces "PING" a la IP 1.1.1.1, desde un Host de la LAN del pfSense, obtienes Respuesta ?

Si haces un "Traceroute" a esa IP, desde un Host de la LAN del pfSense, hasta dónde llegas ?

La IP 192.168.31.1, quién la Tiene (es el otro pfSense que mencionas) ?

jupesag

@ptt:

Si haces "PING" a la IP 1.1.1.1, desde un Host de la LAN del pfSense, obtienes Respuesta ?

Si haces un "Traceroute" a esa IP, desde un Host de la LAN del pfSense, hasta dónde llegas ?

La IP 192.168.31.1, quién la Tiene (es el otro pfSense que mencionas) ?

La IP 192.168.31.1 es la del router del proveedor de servicios.
Te adjunto una captura de tracert y ping a la dirección que dices, no llego desde un host de la lan.
También te adjunto otra captura en donde se ve que está desactivado de la WAN el bloqueo de la red 192.168.0.0/16


ptt

A la IP 192.168.31.1 llegas, , desde un Host de la LAN del pfSense ? (PING)

Si haces "PING" a la IP 8.8.8.8, desde un Host de la LAN del pfSense, obtienes Respuesta ?

El Host de la LAN, desde el que realizas las pruebas, obtiene los parámetros (IP, GW, DNS, etc) correctos del DHCP Server ?  (ipconfig/all)

jupesag

Desde un pc de la LAN sólo llego al pfsense (172.17.10.1).
No llego a la 8.8.8.8 y sí, los parámetros IP, GW y DNS son correctos.

Desde el Pfsense, dentro de Diagnóstico, utilizando la herramienta PING llego a cualquier sitio.

ptt

A la IP 192.168.31.1 (PING)  llegas, , desde un Host de la LAN del pfSense ?

georgeman

Es algo de tu host. El traceroute muestra que tu PC no sabe como llegar a 8.8.8.8

SEGURO que tienes el default gateway y la máscara de subred bien configuradas? Postea la salida de ipconfig /all

jupesag

Descripción . . . . . . . . . . . . . . . : Qualcomm Atheros AR8151 PCI-E Gigabit Ethernet Controller (NDIS 6.30)
  Dirección física. . . . . . . . . . . . . :
  DHCP habilitado . . . . . . . . . . . . . : sí
  Configuración automática habilitada . . . : sí
  Dirección IPv4. . . . . . . . . . . . . . : 172.17.10.10(Preferido)
  Máscara de subred . . . . . . . . . . . . : 255.255.255.0
  Concesión obtenida. . . . . . . . . . . . : martes, 1 de mayo de 2018 0:55:07
  La concesión expira . . . . . . . . . . . : martes, 1 de mayo de 2018 2:55:08
  Puerta de enlace predeterminada . . . . . : 172.17.10.1
  Servidor DHCP . . . . . . . . . . . . . . : 172.17.10.1
  Servidores DNS. . . . . . . . . . . . . . : 172.17.10.1
  NetBIOS sobre TCP/IP. . . . . . . . . . . : habilitado

ptt

Con "Todos" los Hosts de la LAN del pfSense "tienes el mismo problema" ?

Que marca/modelo de adaptador de Red utilizas en el pfSense para la LAN ?

jupesag

Sí, le pasa lo mismo a todos. De hecho he cambiado la interfaz de red en la configuración por si fuese una interfaz de red que no está bien, pero el problema continúa.

El pfsense tiene 6 x Intel 82583V

ReneMG

@jupesag revisaste los dns en el el
PFSense? Pestaña, servicios, servidor dns, lo más probable es que no los tengas puestos!
A mi me ocurrió lo mismo con una configuración de red igual que La tuya.