[SOLUCIONADO] Impresoras compartidas y pfSense



  • Que tal comunidad? Buscando en el foro no encontre una respuesta, mi problema es el siguiente y mi configuracion de la red tambien:

    ISP1 -->
    pfSense --> SW <-- AD(virtualizado)
    ISP2 --> |
    |
    PC's --> SW <-- PC's

    el AD actua de DNS y el pfSense actua de DHCP en reemplazo de un Mikrotik que cumple la misma funcion.

    Un problema que me surgio a la hora de implementar el pfSense es que perdia la conexion con las impresoras compartidas desde las PC's clientes dentro de la red, en el AD tengo configurado el reenviador para que apunte al pfSense y en el pfSense en el apartado del DHCP tengo configurado que reparta la ip del AD a los clientes. Con esta configuracion tuve problemas con algunas PC's que no veian impresoras compartidas por otras PC's, desconozco si la configuracion esta bien o no, o cual seria la configuracion correcta de pfSense cuando hay un AD windows en la infraestructura de la red. Disculpen lo largo del mensaje.



  • Pfsense no tienen nada que ver en tu problema al menos que este mal configurado.

    Si metistes reglas en tu firewall en base a tus necesidades te recomendaria revisarlas.

    Pfsense es un firewall nada mas si lo vemos desde arriba, solo mueve paquetes en base a reglas.

    Siento que tu problema va en la config, fw, dhcp, tus logs del fw son tu clave.

    Espero este equivocado, saludos.



  • Gracias Periko por la respusta, pero te pregunto otra vez, que Logs son los claves para este tipo de inconvenientes? desde ya muchas gracias! tambien sospecho que no deberia tener que ver por que como bien dices el FW estaria por encima y no deberia tocar la red interna, pero como me sucedio a la vez que implemente el FW queria descartarlo completamente.



  • Que reglas tienes en firewall LAN o son mas de una LAN?



  • Tengo en este orden estas reglas en la unica LAN que configure:

    IPv4 * * LAN Adrress * * none (esta la agrege para testear si dejando pasar todo podia ver las impresoras)
    IPv4 * * A_ESET_Upd * * none (esta es para las actualizaciones del AV)
    IPv4 * * 159...* 80 * none (esta la agregue para que los clientes puedan descargar el WPAD)
    IPv4 * * 159...* 3128 Balance qACK/qDefault (esta regla es para hacer PASS al proxy)

    estas son de bloqueo: reglas que hice para evitar "saltear" el proxy, actualmente estan deshabilitadas)
    IPv4 LAN net * * 80-443 * none
    IPv4 LAN net * * 8000-8080 * none

    y por ultimo las Default del pfSense las clasicas de PASS.

    Tambien desconozco que tan efectivas/bien estan hechas las reglas.



  • Si hay discrepancias, para tu red, si quieres que toda tu red se hable es TCP/UDP LAN NET A LAN NET en la interfaz LAN.

    De ahi el resto sale sobrando ya que por default pfsense agrega las reglas para que tu LAN pueda llegarle a la interfaz del GUI, no necesitas especificarlo.

    Con esas dos debe funcionar tu red.

    Ahora tu red LAN cual es?

    Por que tiene 159.? No es una red privada.

    Saludos.



  • @ezeguada said in Impresoras compartidas y pfSense:

    no, esa es la IP que se usa en la organizacion donde trabajo, :/ , bien las reglas que miran al FW/Proxy estan de mas, por desconocimiento las agregue, tendria que quitar todas, agregar la del TCP/UDP y dejar la de LockOut? despues de hacer estas configuraciones deberia volver a "meter" el pfSense en produccion, lo saque justamente por que es esencial para los usuarios la impresion y como no tenia tiempo (casi nunca se cuenta con tiempo) lo saque y volvi al Mikrotik. Gracias por las respuestas!



  • PD: Estoy mirando tu canal de YT :D



  • Tomale foto y muestralas aqui cuando hagas los cambios.
    Tambien especifica cual es la red de tu LAN.
    AD es parte de la misma red?
    Saludos.



  • Que tal @periko ? Disculpa la tardanza, ayer habia tocado la campana, respondiendote, si el AD está en la misma red, mi red LAN es 159.96.45.0/24, adjunto imagen:
    0_1540304863411_rules de firewall.PNG



  • También leí en algún foro que es ideal que el DHCP este manejado por el DNS, eso es así?



  • No me habia tocado ver una red con rango (publico) creo(159./)

    Por lo regular usan redes privadas.
    192/, 10./, 172./

    Bueno, con esas reglas que permiten todo por comunicacion no veo sea el problema.

    Que parametro esta enviando el DHCP a los clientes?

    Ahora en una red windows, todos consultan a un AD como controlador de dominio, simple comunicacion TCP/UDP, en base a tus reglas no veo que algo pudiera bloquear esa consulta.

    Ya probastes metiendo los parametros de la red manual en algun cliente y que este pueda ver toda la red junto con las impresoras?

    Saludos.



  • @ezeguada Estas preguntas ya estan relacionadas administracion de AD, de esto hay mucho info en la Internet, saludos.



  • Periko mil gracias! hice unas pruebas conectando en paralelo el FW con el Mikrotik, con una PC apuntando al AD y con GW al FW pude ver e imprimir a otra impresora compartida en la red!
    Lo que si no tengo activado es el DHCP del FW por cuestiones obvias, entiendo que para la implementacion en produccion es cuestion de pasar como parametros del DHCP el AD y el WINS (de este ultimo no estoy seguro pero la configuracion hoy en dia es esa), en el AD como reenviador al FW y eso en teoria deberia andar no?.

    El reenviador del AD se encarga de los nombres que no conoce (red interna) y los envia a otro DNS para que el se encargue de darles direccion, esto es asi?

    Bueno en todo caso chusmeare los articulos que me informaste! la verdad te lo agradezco! Saludos!

    PD: Tambien hice pruebas pasando a travez de un AP y dio buen resultado!



  • WINS en una red bajo AD ya no es necesario este servicio a excepcion de ciertas situaciones con sistemas con OS viejones, pero en una red win7+ ya no es necesario.

    Si vas a levantar una AD, te recomendaria tambien darle el DHCP, ya todo eso funciona de paquete, si PF protegera tu perimetro que se dedique a eso nada mas.

    Saludos y suerte!!!