Conflicto en IP pública entre pfsense y dyndns



  • Hola, buenos días.

    Como dice el título, tengo un conflicto con mi IP pública. Resulta que tenemos un dyndns que usa nuestra IP pública. El problema es que una vez intentamos entrar al dyndns a través del nombre del dyndns o IP, nos saltaba el pfsense.

    Probamos por si fuera cosa del puerto, así que pasamos el pfsense a HTTPS, por si fuera que los dos intentan accedir al mismo puerto, pero ahora no abre nada. Mirando un poco más, hemos visto que poniendo https delante del dyndns salta directamente el proxy, lo cual indica que realmente esta intentando entrar al pfsense por el puerto 80, cuando debería estar libre para el dyndns.

    He revisado el apache donde tengo la web que está redireccionada al dyndns, y está todo correcto, probando también a salir por otro nombre en local y si que funciona.



  • Si tienes pfSense configurado para que se pueda administrar vía web desde fuera no puede estar ni en 80 ni en 443. Tienes que usar otro puerto alternativo:

    http://doc.pfsense.org/index.php/Remote_firewall_Administration

    Tal como dice el enlace es una forma de administración no recomendable. Te sugiero usar OpenVPN o bien un túnel SSH si en LAN tienes un servidor SSH para establecerlo.

    Saludos,

    Josep Pujadas



  • La idea era no tenerlo para administrar desde fuera, solo localmente, y entrar a través de la IP de la LAN del pfsense. ¿Como se puede configurar así? Así liberamos la IP pública para ser usada por el dyndns.



  • Entrar a través de la IP de la LAN del pfsense.

    Esto tiene que estar así "por defecto".

    ¿Partes de una instalación nueva o estás "tocando" algo que ya estaba funcionando?



  • Es una instalación de hace 2 meses, que ha sido también actualizada de la 1.2.3 a la 2.0.1, y al menos premeditadamente no ha sido modificado para que no use solo la LAN. ¿Hay algún lugar donde ver una opción que modifique esto? Por si se activo por error.



  • :) hola…

    tienes la cuenta con dyndns activa??

    ellos dejaron de ser gratis y ahora es pago usar sus servicios.

    si tienes bloqueda la cuenta con dyndns usa no-ip



  • ¿Puedes o no puedes por IP y desde LAN llegar al configurador web de pfSense?



  • Si que tengo dyndns activo.

    Y si que puedo entrar al pfsense tanto por la IP publica (solo desde dentro) y desde la LAN, lo que quiero es solo por la LAN.

    EDIT: A ver si así me termino de explicar bien.

    Lo que está pasando:

    PFSENSE = IP_PUBLICA = DYNDNS

    Y lo que quiero es:

    PFSENSE | IP_PUBLICA = DYNDNS

    La relación que veo es que la interfaz WAN tiene la IP PUBLICA como IP-ADDRESS, porque el ISP no asigna IP por DHCP. Por si me lo pedís, la interfaz WAN del pfsense es quien suministra internet a la red, teniendo el router de telefónica en modo bridge.



  • Y si que puedo entrar al pfsense tanto por la IP publica (solo desde dentro) y desde la LAN, lo que quiero es solo por la LAN.

    No lo había probado nunca pero eso es normal. En otras palabras, desde el lado LAN se llega al WAN a no ser que se prohiba específicamente. Puesto que para salir afuera siempre se va al lado WAN, incluida la propia IP pública.

    Es más, estoy pensando que si fuera así no podría monitorizarse la puerta de enlace, tal como hace por defecto la versión 2.0.

    Si lo que quieres es publicar un servidor web interno tendrás que hacer NAT Port forward en WAN con la regla en WAN asociada al tráfico entrante (se crea automáticamente).

    Y si quieres que tus usuarios puedan acceder al servidor web usando el mismo nombre que en Internet:

    http://forum.pfsense.org/index.php/topic,43113.msg223228.html#msg223228
    http://forum.pfsense.org/index.php/topic,33289.msg173400.html#msg173400

    Saludos,

    Josep Pujadas



  • Efectivamente, mediante un NAT he podido forzar a que reserve el puerto 80 para el servidor web. Ahora ya solo me queda que sea accesible desde fuera, porque de momento solo puedo entrar desde dentro, tendré que revisar la regla, pero tiene mejor pinta.

    Gracias  ;)



  • Tu servidor web interno tiene que tener como puerta la LAN de pfSense.

    No precisa reglas en LAN, puesto que el tráfico es entrante. Es en WAN donde tiene que haber la regla automática creada por el NAT.

    Verifica que esta regla en WAN no tenga por delante alguna regla que deniegue el tráfico, excepto las de prohibición de tráfico procedente de Private & Bogon networks.

    Comprueba la visibilidad del servidor web publicado realmente desde fuera (desde otra conexión a Internet).



  • Vale, después de muchas pruebas, creo que ya se que es lo que está pasando, que me desvie con el tema del pfsense y el puerto, y es más que eso.

    Tenemos un servidor dedicado que es donde se ha creado un virtualhost en el apache hacia la web que debe cargarse en el dyndns. Según parece, el problema viene dado cuando se intenta crear el virtualhost en el dedicado, porque haciendo lo mismo desde la red interna, se modifica el fichero hosts para enlazar, y funciona, pero se ve que al tener que acceder a un sitio remoto, no busca dentro del fichero hosts que está en local porque directamente el pfsense lo direcciona hacia fuera, así que supongo que será poner alguna regla en el pfsense para hacer ese enlace como el fichero hosts en local.

    ¿Alguna idea?




Log in to reply