Acceder a mi IP publica desde la LAN
-
Que tal amigos buen día,
Me tope con el siguiente caso, tengo unas aplicaciones web a las cuales accedo desde mi Intranet y también desde Internet en algunos casos, por lo cual me vi en la necesidad de hacer referencia a ellas a traves de un dnsalias, redirigí el trafico que llega al puerto 80 de la wan con pfsense hacia mi server de aplicaciones, pero el detalle se presenta cuando desde mi LAN intento visualizar la pagina del dnsalias, ya que me marca Error al tratar de cargar la pagina, de hecho si desde mi LAN pongo en mi navegador la IP Real de mi ADSL me marca el mismo error;
La conexión ha caducado
El servidor XX.XX.XX.XX está tardando demasiado en responder.
* El sitio podría estar no disponible temporalmente o
demasiado ocupado. Vuelva a intentarlo en unos momentos.
* Si no puede cargar ninguna página, compruebe la conexión
de red de su ordenador.
* Si su ordenador o red están protegidos por un cortafuegos
o proxy, asegúrese de que Firefox tiene permiso para
acceder a la web.Si hago ping desde mi LAN me responde, tanto para el dnsalias como para mi IP Real, y como les comentaba si la consulto desde Internet carga correctamente, supongo que tengo que agregar algún tipo de bridge o algo por el estilo, esta por ahí el detalle?
Olvide comentar que desmarque la opción Block private networks para mi interfaz WAN reinicie y sigo con el mismo detalle.
Gracias de antemano.
-
¡Hola!
No entiendo bien el problema …
Desde cualquier estación de tu LAN deberías poder ver tu servidor web haciendo http://XX.XX.XX.XX siendo XX.XX.XX.XX la IP privada de tu servidor web.
¿Es así?
Si lo que quieres es ver tu servidor web con el mismo nombre que en Internet entonces, suponiendo que tus máquinas estén con DHCP y pfSense sea el servidor DHCP+DNS basta que en pfSense pongas en el servicio de DNS la equivalencia:
www.midominio.com XX.XX.XX.XX
Y hacer http://YY.YY.YY.YY siendo YY.YY.YY.YY tu IP pública no tiene demasiado sentido, en principio. Verifica que tu equipo de conexión a Internet no tenga administración vía puerto 80. Si es así cambiala a 8080 o similar, para evitar líos.
Saludos,
Josep Pujadas
-
:) hola vicoti…
que reglas estas usando? suena extraño lo que comentas, tal vez existe una regla que impide la comunicacion.
cuentanos que reglas estas usando?
-
Que tal antes que todo gracias por responder,
Así es Josep, Desde cualquier estación de mi LAN intento ver mi servidor web haciendo http://XX.XX.XX.XX siendo XX.XX.XX.XX la IP privada del servidor web, pero no funciona, cabe mencionar que entro a la conf web de mi pfsense via puerto 8080, esto porque redirijo lo que llega al 80 de mi pfsense hacia el 80 de un server en mi LAN que es de hecho el servidor web.
Ocupo Squid + SquidGuard, y el Squid no es transparente porque me chocaría con lo que mencionaba de mi server Web.
sanchezluys acontinuacion pongo unas imagenes de mi conf. en cuanto reglas, (se que esta bastante escueta, una disculpa de antemano)
Saludos y Gracias nuevamente.
-
¡Hola!
Deshabilita todas las reglas en WAN que no sean para NAT (110, 25, 80, …). No tienen ninguna utilidad, a menos que se me escape algo.
Son las reglas en LAN las que dicen dónde pueden ir tus equipos ...
Y por supuesto, las de NAT en WAN son las que permiten acceder desde fuera a tus servicios.
Hay que pensar que el cortafuegos es como una casa con varias puertas. Hay que abrir con llave para entrar pero no para salir. O sea que lo que ha entrado por LAN sale por WAN si tiene que ir a Internet, a menos que tengas una regla (en WAN) que lo prohiba. La denegación de acceso a redes privadas y no asignadas (bogon) son un caso de esto último.
El cambio de puerto de pfSense es correcto porque deseas acceder a él desde fuera. Te sugiero encriptes la comunicación, haciendo que pfSense funcione por https en lugar de http.
Desde cualquier estación de mi LAN intento ver mi servidor web haciendo http://XX.XX.XX.XX siendo XX.XX.XX.XX la IP privada del servidor web, pero no funciona
¿Está tu servidor web en la misma LAN, con el mismo rango de IPs? Si es así tienes algún lío en tu topología de red. Asegúrate de que tu servidor web y tu estación estén en la misma red.
Días atrás trasteando con rangos de IPs me sucedió algo semejante. El DHCP estaba en un rango y los servidores (con IP fija) en otro.
Saludos,
Josep Pujadas
-
Hola Josep,
Tienes toda la razón, tenia una de reglas que ni al caso y todo por burrin, como me comentas es en LAN donde debo bloquear a mis equipos.
¿Está tu servidor web en la misma LAN, con el mismo rango de IPs? Si es así tienes algún lío en tu topología de red. Asegúrate de que tu servidor web y tu estación estén en la misma red.
Si de hecho mi pfsense controla únicamente una sola red, en la cual todos los equipos están en el mismo segmento, mi configuración es bastante básica.
Actualmente ya quedo resuelto mi problema, que hice para resolverlo, seguí los consejos de Josep y quite las reglas que estaban haciendo paja, adicionalmente agregué en Services DNS Forwarder la configuración que anexo en imagen.
Saludos y muchas gracias por el apoyo, aprendí mucho de este error jeje.
