AYUDA!!! WAN con IPs Publicas



  • Hola , tengo un gran desafio q me esta quitando el sueño , ojala me puedan ayudar , este es el escenario:
    Tengo un PC con pfsense instalado , con dos placas de red , wan y lan , la idea es q esta pc sirva de Firewall/proxy y q me permita autenticar las usuarios de una LAN para tener acceso a Internet. Mi conexion Internet viene dada por un router con conexion dedicada de internet el cual no tengo acceso , q esta en otra localidad y atravez de Fibra Optica llega a donde estoy con su correspondiente Media Converter del cual tomo un cable ethernet q se conecta directo a la placa wan de mi pfsense ,por la placa lan va conectado a un switch para la lan . Hasta ahi todo bien , el problema viene dado q mi conexion wan no provee dhcp y me mandaron esta configuracion:
    –-----------------------------------------
    IP 200.43.196.xxx #La Ip asignada a Wan
    Mascara 255.255.255.248
    Gateway: 200.43.196.xxx
    Direccion de Red : 200.43.196.xxx
    Broadcast: 200.43.196.xxx
    DNS : 200.45.191.35 # Los de mi ISP

    Este es basicamente el problema nunca configure con Ips Publicas , pero sin embargo desde la PC PfSense puedo hacer ping a cualquier host de internet o sea www.google.com y dada respuesta.

    Por parte de LAN tengo una ip asignada 192.168.2.153 /255.255.254.0 por parte de un dhcp q esta en la lan o sea q no doy dhcp con el pfsense.

    Pudo acceder desde cualquier pc de la LAN a la configuracion Web de pfsense sin problemas , el PROBLEMA MAYOR es q no puedo compartir internet para la lan o sea no puedo navegar desde cualquier pc de la lan , y ademas necesitaba autenticacion de usuario y estaba usando el Captive Portal para lan (como explica en uno de los videos tutoriales) autenticando con usuarios locales creados por mi .
    Puedo entrar al portal o sea http://192.168.2.153:8000 desde cualquier cliente de la LAN y me logeo con exito pero ahi termina todo no puedo navegar , agregue reglas para q deje pasar todo desde LAN A WAN en el firewall pero nada.
    Debo habilitar algo mas????
    Porfavor Agradecere su Ayuda.

    :'(



  • Hola!

    Por lo que puedo ver tienes la Ip de tu pfSense (LAN) con DHCP, la cual cosa no es una manera habitual ( depende de tu servidor dhcp que siempre tenga la misma ip ).

    Has configurado tus Pc's con la puerta de enlace de tu pfSense (LAN –192.168.2.153)?

    Tambiés tienes que permitir el trafico de tu Lan hacia el exterior.

    Te paso el enlace de un magnífico tutorial realizado por Josep Pujades para que puedas ver el funcionamiento de pfSense.

    http://www.bellera.cat/josep/pfsense/

    Por otro lado te paso un pequeña información de como configurar el Portal Cautivo de pfSense que coloque en un post:

    Utilizo Portal Cautivo en una wifi, pero te puede servir igual en el tipo de configuración que deseas.

    Hola!

    Utilizando un access point también tuve problemas.

    Haremos una cosa… paso a paso según una configuración que utilice.

    1 ) Access point siempre con la misma ip. En la configuración Dhcp leases haz que tenga una ip fija. (estarias siempre buscando que ip tiene el Access point)
    2 ) No hace falta que indiques otra vez en la configuracion del Dhcp los DNS de ya.com, ya que por defecto elige los que especificaste en el apartado "General Setup".

    Cliente tiene el DNS de pfSense?

    3 )  En el apartado DNS marca también la casilla "Register DHCP leases in DNS forwarder".
         También añade en hosts un nombre para que en lugar de mostrarte la ip en la barra de direcciones nos muestre un nombre DNS. Ej. Nombre de host: seguridad Dominio: dominio.ejemplo* Ip: Ip de nuestro fsense de la WIFI.

    • En "Domain" puedes especificar que tu DNS es el que manda indicando la ip de tu pfSense.

    Portal Cautivo

    4 ) "Disable MAC filtering" desactivado
    5 ) "Authentication" lo que más te guste. Yo lo he probado con y sin autentificación .
    6 ) HTTPS login: Activado (Esto es para hacerlo más bonito)
    7 ) HTTPS server name: El nombre que le hemos dado en host. En nuestro caso "seguridad"
    8 ) HTTPS certificate: Podemos utilizar los certificados utilizados en el apartado "Advanced functions" > webGUI SSL certificate/key.

    Se pueden crear automaticamente, desde enlace ( "Create certificates automatically." que hay debajo de la casilla de texto.)

    Copias el certificado y la clave en el apartado HTTPS certificate y HTTPS private key respectivamente.

    Lo guardas y listo.

    Espero que te funcione.

    Lo del servidor seguro no hace falta pero da seguridad entre comillas.

    Por otro lado lo que has especificado antes:

    Saludos

    Espero haberte ayudado.

    Saludos



  • hola buenas noches tengo 15 dias tratando con pfsense lo tengo montado y me ha ido bien pero he notado en mis pruebas algo que me inquieto…......... entre con mi usuario y mi contraseña  en mi pc de escritorio queesta coectada a la lan de router linksys y despues me conecte inalambricamente con una laptop cuando me pidio usuario y contraseña yo introduje la misma que use en la pc de escritorio.................  me dejo pasmado ya que pense que no me dejaria conectar ni mucho menos tener acceso a internet.......
    ahora bien probe con varios usuarios reinicie me firewall y sucedia lo mismo..........
    ahora si alguien me puede ayudar a configurar alguna regla para que solo le permita conectar a eso solo usuario nada mas , asi que si otros utilizan tu usuario y contraseña no se puedan conectar............

    gracias y espero que me ayuden soy nuevo en esto



  • ¡Hola!

    A ver si lo entiendo bien. Estás hablando de un portal cautivo con pfSense, con usuario y contraseña para pasar por él.

    Y lo que quieres es que tu portal cautivo reconozca además del usuario/contraseña (que debe ser personal e intransferible -como todos los usuario/contraseña-) la máquina asociada a ese usuario/contraseña para que el usuario/contraseña no se pueda emplear desde otra máquina.

    En el portal cautivo tienes unos primeros acercamientos a la resolución de tu problema:

    *** [Concurrent user logins], que permite asegurar que un usuario/contraseña sólo sirva para UNA conexión simultánea.
    *** [Pass-through MAC], para poner MAC que se "saltan" el portal cautivo.
    *** [Allowed IP addresses], para autorizar o denegar determinadas IPs en el portal cautivo.

    Para ir más lejos tendrías que pensar en una autentificación con un servidor FreeRadius externo, cuestión prevista en el portal cautivo.

    En http://www.onlamp.com/pub/a/onlamp/excerpt/radius_5/index1.html se explica cómo montar FreeRadius sobre FreeBSD. En la segunda página de este tutorial hay un usuario de prueba en el que parece (no lo he probado) que se controla la IP desde donde se conecta:

    steve  Auth-Type := Local, User-Password == "testing"
           Service-Type = Framed-User,
           Framed-Protocol = PPP,
           Framed-IP-Address = 172.16.3.33,
           Framed-IP-Netmask = 255.255.255.0,

           Framed-Routing = Broadcast-Listen,
           Framed-Filter-Id = "std.ppp",
           Framed-MTU = 1500,
           Framed-Compression = Van-Jacobsen-TCP-IP

    Si no tienes muchos usuarios no te merece la pena montar todo este tinglado. Simplemente asegúrate de dos cosas elementales en seguridad:

    *** El usuario/contraseña es personal e intransferible. Legalmente es un tema "serio". Informa a tus usuarios de ello. Por su seguridad (y por la tuya).

    *** No conviene que servicios tan dispares como el acceso al ordenador personal y el acceso a un servicio de portal cautivo tengan el mismo usuario/contraseña. Ya sé que esto es un engorro para usuarios y administradores, pero las "llaves maestras" son un mal asunto.

    Saludos,

    Josep Pujadas


Log in to reply