Mi pfSense no resuelve contra los DNS públicos



  • Hola,

    Estoy teniendo un problema curioso ya tratado en los foros en Inglés, pero sin solución allí desde el 21/9. Para el que quiera leerlo es  http://forum.pfsense.org/index.php/topic,6124.0.html

    La cuestión es que tras configurar (una vez más) desde cero el pfsense (por si era un problema de haber tocado mil parámetros), no consigo que el pfsense resuelva nombres contra los DNS públicos.

    En System->packages me dice que "Unable to communicate to pfSense.com. Please check DNS, default gateway, etc.", así que no puedo instalar ningún paquete.

    Abro una shell en el firewall y escribo:

    ping www.terra.es

    ping: cannot resolve www.terra.es: Host name lookup failure

    y si lo hago sin utilizar su URL, a partir de la IP, funciona perfectamente:

    ping -c 5 213.4.130.210

    PING 213.4.130.210 (213.4.130.210): 56 data bytes
    64 bytes from 213.4.130.210: icmp_seq=0 ttl=123 time=48.954 ms
    64 bytes from 213.4.130.210: icmp_seq=1 ttl=123 time=49.330 ms
    64 bytes from 213.4.130.210: icmp_seq=2 ttl=123 time=49.619 ms
    64 bytes from 213.4.130.210: icmp_seq=3 ttl=123 time=48.410 ms
    64 bytes from 213.4.130.210: icmp_seq=4 ttl=123 time=49.686 ms

    Esto me indica que tengo conectividad…. pero no me resuelve el DNS.

    Además, en las máquinas que tengo en la LAN tengo que poner las IP de los DNS públicos explícitamente en la configuración de cada máquina, ya que si le digo que el DNS está en 129.168.1.1 (el pfSense) no consigue resolver ningún nombre.

    Para configurar el pfSense, he seguido las instrucciones de Bellera en su web. Como resumen os digo que:

    • La versión es la 1.2-RC2
    • Los DNS están puestos en system->general setup->DNS Servers (80.58.61.250 y 80.58.0.33)
    • Services->DNS forwarder tiene activos "Enable DNS forwarder" y "Register DHCP leases in DNS forwarder", además tengo dado de alta el nombre del firewall como "fw.casa.net" y este
      nombre sí que me lo resuelve desde la shell en el firewall
      -El servicio dnsmasq está corriendo en Status->services, conjuntamente con dhcpd y bsnmpd
      -El NAT de outbound está puesto como "Manual outbound nat" WAN / 192.168.1.0/24 /////*/NO
      -Las reglas de LAN permiten todo el tráfico saliente
      -Y con los DNS públicos puestos en los equipos, navego perfectamente.

    Alguien tiene idea de lo que me pasa ????

    Gracias por leer hasta aquí y por la ayuda ;D

    Abrazos

    José Angel



  • ¡Hola!

    -Las reglas de LAN permiten todo el tráfico saliente

    Prueba a poner una por delante de todas que realmente permita todo, para todos los protocolos, desde la LAN hacia cualquier destino, a ver qué pasa. Cuando hay varias reglas a veces no es fácil ver lo evidente …

    Supongo que si tu LAN es 192.168.1.0/24 tu WAN está en un tramo distinto. Por ejemplo, 192.168.0.0/24. Esto es obligatorio para que el cortafuegos funcione correctamente.

    A ver si hay suerte. Parece realmente raro el problema ...

    Saludos,

    Josep Pujadas



  • Hola Josep, y gracias por contestar…..

    Quizás me haya expresado mal en mi post. La shell que abro no está en una máquina de la LAN (lo que podría explicar un problema en las reglas), sino que la shell la abro en el FreeBSD del firewall.

    Supuestamente desde ahí no me hace falta ninguna regla para salir, ya que él solito debería encaminar el tráfico saliente (como hace con el ping a 213.4.130.210), pero no me resuelve -o mejor dicho, no me encamina- el tráfico DNS del ping a www.terra.es...

    Como ejemplo, resolv.conf del fw:

    cat /etc/resolv.conf

    domain casa.net
    nameserver 80.58.61.250
    nameserver 80.58.0.33

    Supongo que si tu LAN es 192.168.1.0/24 tu WAN está en un tramo distinto. Por ejemplo, 192.168.0.0/24. Esto es obligatorio para que el cortafuegos funcione correctamente.

    En efecto: mi lan es 192.168.1.0/24 y mi WAN es 80.x.y.z /1 con su gatewat 80.x.y.2

    ¿ Se te ocurre algo ?  ??? ¿He contestado a tus preguntas o me dejo algo?  ;)

    Gracias mil

    Jose Angel



  • Jose Angel,

    ¿Tu WAN es pública? Estás empleando un rango público …

    ¿Tienes un router ADSL? Si es así lo normal es que tu WAN sea un rango de direcciones privadas (lado LAN de tu router ADSL), a no ser que tu ISP te haya dado un juego de direcciones públicas.

    ¿No tendrás alguna regla en la WAN que provoque un lío con el tema de los DNS (puerto 53)?

    Saludos,

    Josep Pujadas


Log in to reply