Problemas con PfSense RC2 3.0



  • Hola:

    Tengo dos subredes una WAN con 10.0.0.0/24 y una LAN con 192.168.0.0/24

    Habilito el NAT y puedo hacer ping de un lado a otro con las reglas en el Firewall (pass,any,any,any) sin restricciones en ninguna de las dos pestañas tanto de WAN como de LAN

    Cuando deshabilito el NAT solo puedo hacer ping de la red 10.0.0.0/24 a la 192.168.0.0/24 sin embargo al revez no me responde el ping

    Como puedo solucionar esto ??? llevo dias y no encuentro solucion. Pretendo deshabilitar el NAT para que las IP que pasen a traves del PfSense no salgan todas con la misma.

    Saludos y gracias de antemano



  • Esto no tiene nada que ver con NAT, en principio.

    NAT lo que hace es "enmascarar" las peticiones de una lado a otro.

    Por defecto pfSense tiene NAT saliente (OutBound) de LAN a WAN. De esta forma, todas las peticiones que vienen de LAN se ven con la IP de WAN y un puerto distinto al de origen.

    NAT entrante (Port Forward) es de WAN a LAN y sirve para cuando se desea "publicar" en WAN un servicio que está en un equpo de LAN.

    Si quieres que los ping puedan ir y venir tienes que autorizar el tráfico ICMP en LAN y según que quieras hacer también en WAN.



  • @bellera:

    Esto no tiene nada que ver con NAT, en principio.

    NAT lo que hace es "enmascarar" las peticiones de una lado a otro.

    Por defecto pfSense tiene NAT saliente (OutBound) de LAN a WAN. De esta forma, todas las peticiones que vienen de LAN se ven con la IP de WAN y un puerto distinto al de origen.

    NAT entrante (Port Forward) es de WAN a LAN y sirve para cuando se desea "publicar" en WAN un servicio que está en un equpo de LAN.

    Si quieres que los ping puedan ir y venir tienes que autorizar el tráfico ICMP en LAN y según que quieras hacer también en WAN.

    Hola bellera, gracias por responder:

    Estoy consciente que NAT lo q hace es enmascarar las peticiones, solo di ese dato para que me pudieran ayudar ya que con el NAT activado y las reglas de any to any con cualquier protocolo en las reglas del firewall funciona, sin embargo cuando deshabilito el NAT aun dejando las reglas en el firewall no me funciona.

    Mi deseo no es hacer NAT es solo rutear de una interfaz a otra con las correnpondientes reglas, ahora tanto en WAN como en LAN lo tengo permitido todo y aun asi solo me deja pasar los pines de la WAN a la LAN de forma contraria no.

    Alguna ayuda ??


  • Rebel Alliance



  • Ya tengo deshabilititado el NAT y solo me hace ping de la interfaz WAN a la interfaz LAN, de forma contraria no. En el Firewall tengo permitido cualquier protocolo desde cualquier ip a cualquier direccion.

    Alguna idea ?



  • Mi deseo no es hacer NAT es solo rutear de una interfaz a otra con las correnpondientes reglas, ahora tanto en WAN como en LAN lo tengo permitido todo y aun asi solo me deja pasar los pines de la WAN a la LAN de forma contraria no.

    En este caso te sugiero una tercera interfase OPT1 configurada en modo LAN, no en modo WAN.
    Das permisos en LAN (de LAN a OPT1) y en OPT1 (de OPT1 a LAN).



  • Esta interfaz que me hablas es virtual o fisica ????? Ya esto que me hablas es totalmente nuevo para mi.

    Con mis dos tarjetas de red y mis interfaces creadas el PfSense no es capaz de comunicarse entre las dos ????

    Saludos y gracias



  • ¿Esta interfaz que me hablas es virtual o física?

    Bueno, depende del contexto de tu instalación.

    ¿Con mis dos tarjetas de red y mis interfaces creadas el PfSense no es capaz de comunicarse entre las dos?

    Prueba a poner en LAN una regla específica que autorice el tráfico ICMP.

    Puede que haya en error.

    Te sugería la solución de la tercera tarjeta porque entre dos LAN no hay ninguna relación "por defecto" a no ser que tu la configures mediante reglas. Suelo buscar siempre el origen del problema pero cuando no lo sabes ver hay que tratar de ir por otro camino.

    ¡Suerte!



  • El contexto de mi instalacion a mi entender lo veo bastante sencillo, es solo probar el PfSense con el objetivo de crear una DMZ siendo este el primer Firewall de la DMZ.

    –--Red LAN-------Firewall DMZ-----Red DMZ------ Firewall DMZ----Internet
    192.168.0.0/24      (PfSense)      10.0.0.0/24        (Astaro)

    la Regla para la WAN (10.0.0.6)          es allow ICMP any from 10.0.0.5 to 192.168.0.251
    la Regla para la LAN (192.168.0.6)      es allow ICMP any from 192.168.0.251 to 10.0.0.5

    10.0.0.5 y 192.168.0.251 son maquinas sin firewall activado ni nada en el medio que no me deje llegar el ping

    Bellera con la reglas que te puse arriba el ping solo va de la 10.0.0.5 a la 192.168.0.251 sin embargo al revez no llegan, me resulta esto inclusive un poco ilogico pq para que el ping se haga el equipo al que se le hace ping envia una respuesta y si no estuviese bien puesta la regla la respuesta del ping enviado no llegaria supongo yo.

    El misterio para mi consiste en pq al revez no llega.

    Saludos y disculpa tantas molestias



  • Lógico que no te funcione.

    La explicación es que una WAN envía siempre el tráfico hacia la puerta de enlace que tiene definida. Si la puerta de enlace es capaz de "rebotar" el tráfico entonces te funcionará. Hay algunos routers que lo hacen, http://es.wikipedia.org/wiki/Enrutamiento_basado_en_políticas

    En cambio una segunda LAN (OPT1) no te hará esto. Por tanto, una DMZ tiene que estar en una tercera interfase.

    Ejemplos:

    http://lutung.library.ums.ac.id/freebsd/pfSense/docs/special_nat_configuration_with_pfsense.php.html

    http://www.bellera.cat/josep/pfsense/Valladolid-2008-07-03_v12.pdf (página 31).

    Saludos y no te preocupes por preguntar… para eso estamos...



  • Te entiendo pero no te comprendo del todo bien

    –--Red LAN-------Firewall DMZ-----Red DMZ------ Firewall DMZ----Internet
    192.168.0.0/24      (PfSense)      10.0.0.0/24        (Astaro)
                      (192.168.0.6/10.0.0.6)                  (10.0.0.1/internetl)

    Mi Wan en el PfSense tiene puesto como gateway el 10.0.0.1
    Mi Lan no tiene puesto gateway

    Mi Maquina cliente en la LAN tiene 192.168.0.251 con gateway 192.168.0.6
    Mi Maquina cliente en la DMZ tiene 10.0.0.5 con gateway 10.0.0.6

    Bajo este escenario no deberia funcionar ???? Igual a la maquina cliente en la DMZ le puse como gateway el 10.0.0.1 y no pasan los pines de la 192.168.0.0 a la 10.0.0.0

    Saludos



  • Mi Wan en el PfSense tiene puesto como gateway el 10.0.0.1

    Ya…

    Lógico que no te funcione.

    La explicación es que una WAN envía siempre el tráfico hacia la puerta de enlace que tiene definida. Si la puerta de enlace es capaz de "rebotar" el tráfico entonces te funcionará. Hay algunos routers que lo hacen, http://es.wikipedia.org/wiki/Enrutamiento_basado_en_políticas

    Insisto en que el tráfico que se envía a WAN va directamente a 10.0.0.1. Si 10.0.0.1 no "rebota" el tráfico de su subred no te irá.



  • Buenas noticias pero malas jejejeje

    A ver bellera, he seguido tus consejos al pie de la letra y las rutas estaticas para que reboten los pines estan hechas y todo esta debidamente bien enruteado.

    Las buenas noticias es que ya todo esta funcionandome perfecto.

    La mala noticia es que tuve q bajar de version ahora estoy usando la 1.2.3 para VM y todo va de maravilla.

    Se me habia comentado decirte que tenia la version RC2 virtualizada y no estaba usando la imagen que da el pfsense para virtualizacion (no se si este detalle era muy importante o no) ahora pregunto, todo mi andamiaje funciona pq baje la version a la 1.2.3 o pq no tenia puesto en una maquina virtual la imagen del pfsense para maquinas virtuales ?????

    Saludos y muchas gracias


Log in to reply