Nat desde PPoE a una red interna?

hgarcia

Hola a todos.

Tengo una duda ya que actualmente tengo un pfsense 2.0.1 con portal cuaitivo, DHCP y conectado a una ADSL mediante PPoE por movistar. Para eso tengo 2 tarjetas de red donde llega el ADSL y la otra tarjeta tengo mi red 192.168.1.x para ofrecer servicio de internet a notebook mediante el portal cautivo. Ahora instale una 3° tarjeta de red y la configure dentro del mi segmento de red corporativa que tengo asignandole la ip 10.10.156.236 mas puerta de enlace 10.10.156.1. El tema es que deseo aplicar lo que se ve en la figura, es decir poder realizar un nat desde afuera hacia mi red corporativa, pero con lo que hice no funciono, es decir permiti todo de la tarjeta OPT1 a cualquier lugar, pero no funciono.

Debe realizar algun enrutamiento adicional?
Es correcto colocar la puerta de enlace de esta red 10.10.156.x?

Lo que si me funciona es cuando coloco un equipo en mi red 192.168.1.x como ftp, lo nateo y llego a la maquina desde internet.
Debo mencionar que la red 10.10.156.x tiene seguridad adicional y restriccion de navegacion a cierto contenido.

Favor si es posible una orientacion.

Saludos.
![Nat pfsense.JPG](/public/imported_attachments/1/Nat pfsense.JPG)
![Nat pfsense.JPG_thumb](/public/imported_attachments/1/Nat pfsense.JPG_thumb)

hgarcia

Se podra lo que planteo o es muy complejo realizar ese enrutamiento?
Saludos
???

bellera

Las LAN (LAN y OPT1) tienen que ir sin puerta.

Entiendo que tienes una sola WAN de conexión a internet.

Entonces, con las dos LAN sin puerta (LAN y OPT1) define las reglas de paso que quieras:

Hacia internet (tanto en LAN como en OPT1)
De LAN a OPT1 (en LAN)
De OPT1 a LAN (en OPT1)

Y para publicar servicios en internet emplea NAT Port Forward en WAN hacia el equipo que desees en LAN u OPT1.

Las tres subredes (LAN, OPT1 y WAN) deben ser rangos de IPs sin solapamientos.

Si tienes un servidor FTP la cosa se complica, para publicarlo en internet.

http://doc.pfsense.org/index.php/FTP_Troubleshooting

Es un servicio complicado detrás de un cortafuegos. Es más recomendable tener un servicio SFTP (FTP sobre SSH), pues emplea un único puerto.

hgarcia

Bellera, disculpame ya que algunos temas aun no los conozco en pfsense.

Lo complicado en el FTP es respecto a su puesta en marcha o a la seguridad que se puede ver afectada, porque esa maquina la tendria en mi LAN.
Y lo ultimo, el servico SFTP es una paquete que trae pfsense o debo configurar paremetros en System: Advanced: Firewall and NAT??

Saludos y Gracias por tu orientación.

bellera

SFTP es un servidor SSH ajustado para hacer sólo transferencia de archivos (FTP).

http://es.wikipedia.org/wiki/Ftp

http://es.wikipedia.org/wiki/Sftp

Como en el esquema dibujaste una máquina haciendo de FTP pensaba que ya la tenías…

hgarcia

En etapa de pruebas la tengo, pero la idea es pasarla a produccion.

Gracias Bellera por la informacion.

Saludos.

bellera

¡De nada!

Perdona pero quité tu Quote…

Por favor, no usar Quote para repetir la anterior intervención de forma completa. Se alarga la lectura y no aporta…

Moderador

hgarcia

Tengo otra duda bellera que me aparecio ahora al estar probando, favor si es posible tu orientacion.

Como indicaba en el esquema, ya tengo el servidor FTP en la red 10.10.156.x, pero lo que no mencione es que en esa red hereda restricciones y privilegios del Domain Control y a su vez para navegar a internet es mediante proxy. Ahora con un equipo en dicha red desabilite el proxy y pude acceder al fichero FTP (Entorno Lan), pero lo que no puedo hacer es llegar desde la red 192.168.1.x (wifi) y del exterior a OPT1, ya que aplique NAT a la ip que tengo montado el servidor FTP con ip 10.10.156.27 y es esa red donde esta OPT1.

Saludos.
Adjunto print de las reglas.

lan.JPG_thumb

OPT1.JPG_thumb

bellera

No es correcto.

En LAN

> * LAN net * OPT1 net * * none
> * LAN net * * * * none

En OPT1

> * OPT1 net * LAN net * * none
> * OPT1 net * * * * none

Esto, evidentmente, para dar todos los permisos.

Cada primera línea deja ir a la otra LAN (LAN u OPT1), sin restricciones.

Cada segunda línea deja ir a internet sin restricciones.

El hecho de que tengas un NAT Port Forward en WAN sólo afecta a las peticiones que lleguen por WAN.

bellera

Una vez lo tengas claro puedes ir indicando reglas más restrictivas, deshabilitando las que dejan pasar todo.

hgarcia

Hola Bellera.

Lo tengo, hice las pruebas y llego desde afuera, pero el tema es que como estoy ingresando por una ADSL y hago un puente a mi red corporativa, es esta ultima la que me detiene (por los sistemas de seguridad que posee, anti spam, agente antivirus, firewall, proxy), porque si te fijas en la imagen he intentado conectarme al sitio desde varios destinos diferentes y a todos les aparece el mismo mensaje. Ahora dentro de mi red corporativa si trato de conectarme al sitio mediante el proxy me arroja el error indicado en la 2° imagen, sin embargo cuando desactivo el proxy si puedo acceder sin ningun problema.

En resumidas creo que el problema radica en la capa 5 de OSI, sesion, porque no me permite autentificarme. En casos asi me parece que deben liberar la ip privada para que salga por los sistemas de seguridad, pero es otro cuento.

Sludos y gracias.

Trafico.JPG_thumb

proxy.JPG_thumb

bellera

Ya te dije que un servicio FTP detrás de un cortafuegos es problemático… Se manejan varios puertos...

http://es.wikipedia.org/wiki/Ftp

hgarcia

Ok, muchas gracias Bellera.

Saludos.