Imprimir desde la wan a una impresora en la lan

bellera

De entrada, en la interfase WAN tienes que permitir el tráfico de redes privadas. Tienes que desmarcar el casillero Block private networks.

A continuación tendrás que poner en WAN la regla necesaria para ir a imprimir. Si es una impresora en red, normalmente es TCP 9100.

troj

gracias por responder voy a poner en practica lo sugerido en realidad tengo dos impresoras una con tarjeta de red y otra compartida por un equipo (pc) tendria alguna caracteristica particular esta situacion digo al momento de crear una la regla en la wan.
por que me interesa imprimir en la impresora que esta compartida por un equipo.

bellera

Las impresoras compartidas son una funcionalidad de compartición de archivos/impresoras de Windows (también llamado Samba o CIFS).

http://www.bellera.cat/josep/pfsense/alies_cs.html (ver alias samba).

http://technet.microsoft.com/en-us/library/cc787076%28v=ws.10%29.aspx

troj

entiendo entonces creo inicialmente alias con estos puertos para samba indistintamente si tengo windows en el equipo donde esta compartida la impresora que en realidad los equipos que deseo que impriman ahi tienen todos linux ahora perdon la ignorancia estuve creando reglas en la lan para bloquear paginas como practica pero cuando me dices crear una regla para imprimir en la wan se refiere por ejemplo en estos apartados :
action : pass
interface : wan
protocolo : tcp/udp
source type : any
destination: single host or alias
                    pc-printer  // alias con ip 10.1.2.10 con la impresora

Destination port range
                                    from:  other : samba  // alias port 137-138-139-445
                                    to:        other : samba // alias port 137-138-139-445

tendria que ser algo asi o voy por mal camino aguardo comentarios gracias

georgeman

Tu pfSense parece estar haciendo NAT, por lo que necesitarias las reglas de NAT Port Forward, ademas de las reglas sobre la interfaz (tildá la opcion "create a linked rule", o "pass" en la regla de port forward). En realidad, esto se complica porque Windows no te va a dejar "ver" las impresoras y equipos de manera transparente si no usan los puertos estandar.

La red 10.1.2.0 no parece ser ruteable desde la LAN del router (asi como está, "intentaría" sacar los paquetes dirigidos a 10.1.2.0 a través de su propio gateway que en este caso es el proveedor de internet)

Lo que se me ocurre es agregar rutas estaticas en los equipos conectados al router, para la subred 10.1.2.0, a traves de 10.1.1.11

troj

gracias por responder segun tu deduccion deberia crear reglas nat forward por una parte . Segun tu solucion tengo que crear rutas estaticas a los equipos del router y como deberia hacer esto con que funcion del pfsense disculpa.

georgeman

Perdón, lo iba pensando a medida que escribía XD. Olvida la parte del port forwarding

Si estoy entendiendo bien tu configuración, sólo deberías agregar la ruta estática en los dispositivos, no en el pfSense. En pfSense sólo deberías permitir el tráfico correspondiente sobre la WAN, desde la WAN subnet hacia la LAN subnet.

Como agregar las rutas depende el sistema operativo. En Windows es con el comando "route -p add"

troj

con la regla en la wan no logro ver la lan de pfsense pongo captura de mi router donde permite realizar routing static si es posible me guias como deberia ir si la ip de la lan del router es 10.1.1.12  –---------> imprimir a la ip lan pfsense 10.1.2.10  como deberia ir esto
atento a tu sugerencia y perdon por la falta de conocimiento en este tema.

Ver Imagen: http://s2.subirimagenes.com/otros/previo/thump_8712130route.jpg

bellera

A parte de que no se ve la imagen (demasiado pequeña), el enrutador no puede hacer nada, a menos que sea capaz de "rebotar" el tráfico.

Como te dijo georgeman, la ruta la tiene que tener el equipo que desea imprimir, pues si no la tiene todo su tráfico se va por la puerta por defecto que tenga. Que supongo debe ser el enrutador (al que le suponemos incapacidad de redirigir el tráfico hacia adentro).

troj

al parecer estoy haciendo algo mal es lo que probe desde el equipo que quiere imprimir

route add -p 10.1.2.0 mask 255.255.255.0 10.1.1.211  pero no logro tener acceso al equipo y a sus recursos compartidos

donde 10.1.2.0 seria el rango de la lan (pfsense)  y 10.1.1.211 seria el gateway la wan de pfsense

aguardo mas sugerencias o correcciones a lo que hice .

bellera

Da permisos totales en WAN para el tráfico procedente del equipo hacia la LAN de pfSense. Deberías poder pinguear los equipos.

Restringe después, una vez comprobado el acceso.

troj

efectivamente si puedo hacer ping desde desde el equipo que quiere imprimir (lan router) hacia el equipo que comparte la impresora (lan pfsense) al igual que acceder a travez del navegador a sus recursos compartidos, pero me indicas que lo bloquee nuevamente luego hecha la prueba debido a que  es un riesgo de seguridad debo interpretarlo asi por que con esto si obtendria lo que necesito.

bellera

La regla de oro de la seguridad es permitir sólo lo necesario.

Si permitiendo todo funcionas, debes decidir si eso es seguro en tu instalación. O entrerternerte a ajustar bien TCP/UDP para el uso con compartición de archivos/impresoras Windows (también llamada Samba o CIFS).

La regla que posteaste para TCP/UDP 137,138,139,445 debería ir.

Antes de hacer nada mira en Diagnostics - States cuáles son las conexiones que se hacen. Eso te dirá si la regla es correcta.

troj

entiendo lo que me dices en realidad lo que  hice fue crear un alias del host 10.1.1.12 (pc que quiere imprimir) al que le di permiso
para la  lan net de pfsense lo que veo en diagnostic es esto tcp 10.1.1.211:80 <- 10.1.2.10:54186 ESTABLISHED:ESTABLISHED
tengo una interpretacion de esto pero no se si sea la correcta aguardo tu comentario me indicas tambien que debo utilizar la regla que me aconsejaste crear al inicio TCP/UDP 137,138,139,445 esta deberia ir bueno si la tengo habilitada.

bellera

@troj:

tcp 10.1.1.211:80 <- 10.1.2.10:54186 ESTABLISHED:ESTABLISHED

Eso dice que la IP 10.1.2.10 tiene el puerto dinámico 54186 conectado al puerto 80 de la IP 10.1.1.211

Como se trata de una conexión hacia TCP 80 se supone que en 10.1.1.211 tienes un servicio http (TCP 80).

¿Acaso tu servicio de impresión va por TCP 80?

troj

ahora si me agarraste haber si te comprendo inicialmente ya tengo las siguientes alias

ahora la regla seria algo asi la verdad no la tengo clara

al implementar esta regla ya no puedo hacer ping del 10.1.1.12  –-> 10.1.2.10  despues de borrar la regla que me indicaste de dejar pasar todo desde la wan a la lan (pfense)

aguardo comentarios muy agradecido por su ayuda.

bellera

La regla parece correcta para acceder a los servicios de compartición de archivos/impresoras tipo Windows (Samba, CIFS).

Pero insisto en que con la regla que permite todo tienes que mirar los estados (states) de acceso de un equipo a otro.

También puedes usar el comando netstat en cada máquina.

Cuando se tiene una situación así es el procedimiento que hay que seguir. Dejar pasar todo y evaluar qué conexiones se están haciendo.

Por supuesto, tendrás que lanzar alguna impresión (o varias) para asegurarte de qué hacen los equipos.

Fíjate que en States puedes aplicar filtros. Conviene que filtres por la IP de destino, por ejemplo.