Como configurar pfsense con multiwan?
-
Se me olvidaba comentarles que este foro no entra en esa red, y asi hay algunas paginas que estan como bloqueadas no se porque, y la direccion de monitoreo la copie de un manual que encontre en la red, ya que no poseo direccion ip publica, pero eso a funcionado sin problemas, quito manualmente una cable y sigo navegando y viceversa, saludos
-
Hum …
Le dado un vistazo a tu config.xml y no veo nada raro ... Desgraciadamente en mi máquina de pruebas sólo tengo LAN/WAN y no puedo cargarlo para verlo.
Sin embargo se me ocurre que habiendo balanceo de carga yo pondría una regla con destino hacia el servidor de correo que pasara obligatoriamente por uno de los routers, en lugar de hacerlo por el balanceo.
Evidentemente eso tiene la pega de no tener failover pero algo me dice que el problema puede ser el balanceo. Haz la prueba y dinos cómo ha ido.
Saludos,
Josep Pujadas
-
Hola!
Yo tambien le dado un vistazo al xml y no he visto de primeras nada anormal. Yo he utilizado una configuración parecida y no he tenido ningún problema parecido. Igualmente probaré el xml a ver si me sucede lo mismo y poder encontrar el problema.
Sin embargo se me ocurre que habiendo balanceo de carga yo pondría una regla con destino hacia el servidor de correo que pasara obligatoriamente por uno de los routers, en lugar de hacerlo por el balanceo.
Evidentemente eso tiene la pega de no tener failover pero algo me dice que el problema puede ser el balanceo
Esto funcinaria. Lo que es estraño es que partes de este foro no puedas acceder. Actualmente tengo una configuración con dos wan haciendo balanceo y puedo acceder a este foro sin problemas. Lo que no he probado es acceder a un webmail externo des de la Lan.
Igualmente si tengo un momento utiliazar tu configuración y la probaré´.
Saludos.
-
Buenos dias a todos, figurense que mi desesperacion llego a traerme el cpu con el pfsense y 1 de los routers inalambricos a mi casa, lo instale y funciona todo perfecto hasta ahora, incluso ahora estoy pasando por el pfsense, lo que confirma la teoria de que es el proveedor de internet que bloquea esta pagina y me saca del webmail, lo unico raro es que lo de webmail solo pasa cuando pasa por el pfsense, como que hubiera alguna incompatibilidad con algun software de ellos o algo asi, aca en mi casa tengo otro proveedor de internet y aparte puse uno de los routers inalambricos que tengo en la empresa, pero todo funciona normal. Ya he llamado a los del servicio inalambrico pero dicen que ellos no tienen ningun problema que el problema es mi firewall, pero ahora confirmo que no, es mas el inalambrico no agarra en mi casa, estoy saliendo unicamente por la LAN2, como tiene el load balancer, no hay problema, gracias a todos, seguire llamando al proveedor a ver que pasa.
De todos modos si pudieran echarle un chequeadita a mi configuracion para ver si no hay algo malo, se los agradeceria, gracias amigos.
bye.Sigo haciendo pruebas, creo que el error es en los DNS el que trae los routers es este: 216.70.224.17, pero cuando lo configuro de la forma manual en las pc clientes, (con XP, lo hago asi porque no tengo dhcp activo para mejor seguirdad) no entra ninguna pagina, cuando pongo el 216.230.147.90 que es de otro proveedor (el de mi casa) si entra normal, y ese es el que he estado usando (en la empresa), pero puede ser que alguno de los dos tenga diferente horario, hay algun dns publico que pueda usar para no crear conflicto, o como puedo testear que el primer dns este funcionando correctamente???, ya que no entra cuando dejo solo ese, ahora tengo como primario el 216,70,224,17 y secundarios el otro.
-
¡Hola!
De DNS público puedes emplear el que quieras. El problema es que, para ir bien, tienes que emplear uno de cercano a tí (simplemente por tiempo de respuesta).
Los DNS sólo hacen un traducción de nombre máquina a IP, por lo que no influyen en el horario de tus correos.
Dices que no has puesto el DHCP en las estaciones Windows por seguridad. Precisamente escogí pfSense porque puede hacer DHCP estático. Me explico, activas el DHCP y luego capturas las MAC en la tabla de direcciones asignadas automáticamente para indicar una IP que va a ser siempre la misma. Es más, una vez tienes todas las MAC puedes "cerrar" tu LAN a nuevas máquinas. O sea que más seguro que el DHCP que lleva pfSense …
Te recomiendo que lo pruebes, porque a partir de entonces tu puerta de enlace y tu DNS es pfSense quien los pone. Esto da una gran flexibilidad (y seguridad ...):
http://www.bellera.cat/josep/pfsense/dhcp_cs.html
Llegado a ese punto, en la configuración general de pfSense pones los DNS públicos que te interesen ...
http://www.bellera.cat/josep/pfsense/config_base_cs.html#system_general_setup
La pantalla sólo admite dos, pero yo tengo metidos cuatro ¿Cómo? Guardas tu XML, lo editas metiendo los DNS de más que te interesen y cargas el fichero modificado. Si tu red es algo grande conviene que el primero sea un DNS local en tu red. Además, pfSense tiene su propio DNS pero es pequeñito, pero rápido (si empleas DHCP va a ser el primero para tus estaciones):
http://www.bellera.cat/josep/pfsense/dns_cs.html
Es conveniente tener unos cuantos DNS definidos en pfSense por si hay fallos ...
Pero lo que explicas parece más bien una mala resolución por parte del DNS que una no-resolución. En todo caso no estás obligado a emplear los DNS de tu proveedor. Puedes meter los que quieras. Y los que llevan puestos tus routers sirven para tus routers. No influyen en los que pongas en tus equipos, a no ser que éstos se configurasen por DHCP en tus routers (es por ello que en los routers hay unos DNS puestos).
Si quieres testear la resolución DNS desde tus máquinas Windows puedes emplear el comando nslookup nombre_máquina
Te dirá qué servidor DNS te está dando la respuesta, si la respuesta es autoritativa (es decir, si es ese DNS quien tiene la "propiedad" del nombre), el nombre con que está registrada la máquina (puede que el nombre_máquina que tu hayas dado sea sólo un álias) y la IP.
En UNIX/Linux el comando es muy parecido, pero también existen otros comandos más potentes ...
Saludos,
Josep Pujadas
-
fijense que por fin la empresa me dio su dns de salida y funciona bastante bien, con lo del correo que me da el error de expiracion de tiempo, parece ser que efectivamente es el balanceo de carga el que me da el conflicto, porque uno de los routers no tenia señal y lo quite, ese dia nadie me reporto que lo habian sacado de su correo y probe entrar al mio de esa empresa y todo normal, no se si haya sido buena suerte pero los que trabajaron en sus webmail no tuvieron problemas, ahora que puerto especificos son de correo abajo tengo los alianses de correo (correoalias) pero en tcp alias tambien tengo dos de correo, cuales serian los puertos exactos para poder salir por uno de los routers solamente correo. ya que tengo dudas con el puerto 80 por ejemplo.
correoalias 25, 995, 465, 443, 80, 110 Puertos de correo
tcpalias 80, 443, 21, 53, 119, 25, 995, 20, 22 http,https,ftp,dns,nntp,correo,correo,ssh
udpalias 53, 119 dns, nttpOtra cosa la hora en el pfsense nunca me la cambio, la cambie probando con el commando
date -u MMDDhhmm donde MM es mes, DD es dia hh es hora y mm es minutos, los comandos los meti en diagnostic-command prompt. De todas maneras no me sirvio pero es bueno comentarlo para futuras ocasiones. -
¡Hola!
Si el correo es WebMail, va por el 80 si es http o per el 443 si es https. Esto es lo normal. Hay que mirar en la dirección de entrada del WebMail cuál se emplea (la que pone el navegador).
Si no es WebMail, el correo es el 110 para recoger (POP3) y el 25 para enviar (SMTP). Si hay POP3 seguro (con SSL) entonces es el 995:
http://www.iana.org/assignments/port-numbers
Esto también es lo normal, porque puede ir por otros puertos. Tu proveedor te lo tiene que decir.
En cuanto a la hora de pfSense, tendría que estar sincronizada correctamente … Comprueba que realmente puedes salir hacia el UDP 123, que es el puerto empleado para hacer NTP. Podría ser que tu router o proveedor te esté bloqueando el UDP 123. Puedes probar con la sincronización horaria en un ordenador, desde tu LAN (y si hay dudas también desde tus WAN).
En cuanto a NTP hay un compañero de la zona que dice haberse encontrado con problemas:
http://oriol.joor.net/blog/?item=pfsense-deixava-de-re-enviar-paquets-misteriosament (en catalán)
Explico brevemente la solución. Dice que hay que limitar el número simultáneo de conexiones para NTP en pfSense, véase foto: http://oriol.joor.net/article_fitxers/2159/pfsense.png (opciones avanzadas de la regla que tengamos para NTP).
Saludos,
Josep Pujadas
-
Bueno, tal y como la habia pronosticado Bellera creo que el problema era el balanceo que estaba haciendo, el cual no se porque, ya todos los webmail como yahoo, gmail, hotmail, etc, trabajan bien excepto el de www.itelgua.com, pero creo que se resolvio redireccionando el puerto 443, que es el que usa este webmail hacia uno de los routers, hasta el momento no he tenido problemas, claro esta que cuando este router falla, no pueden leer correos, que por el momento no ha pasado pero va a pasar.
El problema de la hora, lo resolvi en la forma que indique en el post anterior, con el comando date, aunque eso era porque pense que alli radicaba el problema, pero no era asi.
Muchas gracias a los que me ayudaron a resolver este problemita que empezo unicamente con el balanceo de carga y poco a poco fueron saliendo otros detalles.
-
Que tal amigo byrpa podrias explicar en una especie de mini-howto como lograste que te jalara el balanceo por que yo no he logrado echarlo a andar, mi problema es un poco mas complejo por que una de mis cuentas es adsl y la otra es de internet por cable la cual esta detras de un proxy pero tu howto me serviria de referencia para ver si logro mi proposito. a proposito sabes si es posible usar dos cuentas diferentes de Dyndns una para cada Wan al mismo tiempo?. Gracias de antemano
-
Perdona por no contestar, pero no habia podido ingresar por motivos de tiempo, en los post anteriores subi toda la configuracion que tenia mi pfsense, el cual ya trabaja bastante bien, excepto por el correo webmail de una empresa local, pero se resolvio mandando el trafico por uno de los routers, sin balanceo.
Cual es tu problema para ver si te puedo ayudar en algo, que es lo que no te funciona?
