No tengo salida de Internet con mi servidor pfSense



  • Buenos días,

    Adjuntamos la topología de red que estamos tratando de implementar en un proyecto de investigación.

    Se utilizó la configuración base de pfSense y se activaron los servicios del servidor DHCP y DNS Forwarder

    Existe conectividad de las interfaces LAN y WAN:

    • Desde el servidor hacia el cliente, el router y el módem. Adicionalmente muestra salida de Internet al hacer ping a la dirección IP de los DNS utilizados (8.8.8.8 y 8.8.4.4)
    • Desde el cliente hacia el servidor y el router. No envía ni recibe paquetes hacia el módem

    ¿Cuál podría ser el problema de conexión o configuración del servidor pfSense para que aún no haya salida a Internet?

    ![Topologia de red pfSense.png](/public/imported_attachments/1/Topologia de red pfSense.png)
    ![Topologia de red pfSense.png_thumb](/public/imported_attachments/1/Topologia de red pfSense.png_thumb)



  • 1. Probar el portátil directamente conectado a la LAN. Debería ir.

    2. Probar tal como está en el esquema. Parece correcto, pero si no va es evidente que el problema está en el enrutador D-Link. Lo primero que habría que verificar es si el portátil toma dirección IP correcta.



  • Por cierto, mirad bien el manual del D-Link… Ahí teneis también LAN/WAN y funciones cortafuegos... No es sólo un punto de acceso WiFi.

    http://www.dlink.com/es/es/support/product/dir-600-wireless-n-150-home-router?revision=deu_revb5



  • Buenas tardes Bellera,

    • El portátil conectado directamente a la LAN envía y recibe paquetes de manera satisfactoria.

    • Al ejecutar el comando ipconfig en el portátil; el direccionamiento IP es correcto, ya que la IP está dentro del rango de la red LAN y nos muestra como gateway la IP fija de nuestro servidor.

    • La configuración del router fue probada conectando el módem y el router para saber si había o no acceso a Internet, el único cambio que se efectúo para la adición del pfsense fue deshabilitar el DHCP (El cual ya no lo esta dando nuestro servidor como vemos en los equipos a través de la red LAN y WAN) y el DNS Forwarder.

    Se observa que al ingresar al setup wizard de la webconfigurator de pfSense y configurar los DNS inmediatamente la interfaz WAN deja de ser detectada por nuestro servidor; motivo por el cual se pierde la conexión. ¿Que configuración es válida para el servidor DHCP y el DNS forwared? ¿Porque al realizar dicha configuración en el setup wizard se pierde la conexión?

    Nota: Revisaremos la documentación del router para detallar si existe un bloqueo de firewall  ;)

    Muchas gracias por su colaboración  y su oportuna respuesta :)



  • Acabo de probar el wizard en un pfSense que tengo virtualizado para pruebas y si la WAN está por DHCP pierde su configuración. Se puede apreciar refrescando la WebGui, en widget Interfaces. O refrescando la consola.

    La solución es reiniciar el equipo.

    No me había dado cuenta del bug porque no utilizo nunca el wizard en mis instalaciones. Simplemente lo cancelo y voy System - General Setup, pues las interfases básicas ya las defino en la instalación inicial por consola.

    Digo bug porque entiendo que el wizard debería renovar la petición DHCP al enrutador ADSL.



  • Buenas tardes bellera,

    No hemos podido encontrar solución a nuestro problema de salida a Internet con el servidor pfSense.

    • Revisamos el router y notamos que tenía conflictos para permitir la salida a Internet. Por tal motivo conseguimos un nuevo router (D'Link DIR 600) y realizamos pruebas de conectividad a Internet con el módem del proveedor de servicios (TP'Link). Obtuvimos resultados satisfactorios, por lo que procedimos a la configuración (Ver imágenes 01 y 02).

    Posteriormente procedimos a realizar las siguientes conexiones:

    • Se conecta la interfaz de red LAN del servidor pfSense a través de un cable RJ45 al puerto de red 01 LAN del router

    • Se conecta la interfaz de red WAN del servidor pfSEnse a través de un cable RJ45 al puerto de red o1 WAN del modem

    • Se conecta un computador portátil al puerto 02 LAN del router (Cliente)

    Finalmente accedimos a la interfaz web del servidor pfSense y activamos los servicios (ver imagen 04)

    • Se verifica a través de la utilidad de comandos CMD el direccionamiento IP de la máquina del cliente (ver imagen 03)

    • Se verifica la conectividad de la interfaz LAN a través de mensajes ICMP desde la interfaz web del servidor y se obtiene respuesta satisfactoria, de igual manera se verifican los DNS (ver imagen 05)

    Una vez realizado este procedimiento notamos que al ingresar a la configuración avanza de pfSense y agregar la IP del servidor DNS (en nuestro caso Google) inmediatamente se caen todas las conexiones y ya no permite enviar y recibir mensajes ICMP satisfactoriamente. En este momento se obtiene un error con el servidor DNS y el envío de paquetes hacia el host cliente es nulo.

    Nota: En nuestra configuración base y con las pruebas que se han efectuado NUNCA hemos podido tener salida a Internet y aunque la respuesta de los mensajes ICMP es satisfactoria en el momento inicial de configuración no hemos navegado por Internet  :'(

    ¿Cuál podría ser entonces nuestro error?

    De antemano agradecemos su colaboración y oportuna respuesta!

    ![01. Router - Opciones de Internet.png](/public/imported_attachments/1/01. Router - Opciones de Internet.png)
    ![01. Router - Opciones de Internet.png_thumb](/public/imported_attachments/1/01. Router - Opciones de Internet.png_thumb)
    ![02. Router - Red LAN.png](/public/imported_attachments/1/02. Router - Red LAN.png)
    ![02. Router - Red LAN.png_thumb](/public/imported_attachments/1/02. Router - Red LAN.png_thumb)
    ![03. ipconfig Cliente.png](/public/imported_attachments/1/03. ipconfig Cliente.png)
    ![03. ipconfig Cliente.png_thumb](/public/imported_attachments/1/03. ipconfig Cliente.png_thumb)
    ![04. Servicios activados pfSense.png](/public/imported_attachments/1/04. Servicios activados pfSense.png)
    ![04. Servicios activados pfSense.png_thumb](/public/imported_attachments/1/04. Servicios activados pfSense.png_thumb)
    ![05. Ping DNS Google.jpg](/public/imported_attachments/1/05. Ping DNS Google.jpg)
    ![05. Ping DNS Google.jpg_thumb](/public/imported_attachments/1/05. Ping DNS Google.jpg_thumb)



  • El D-Link está actuando como enrutador/cortafuegos. No sólo como punto de acceso.

    Por tanto, tiene LAN y WAN.

    Su WAN (Elija el modo de ser utilizado para conectarse a Internet) debe estar conectada a la LAN de pfSense. Es la conexión que pone INTERNET en el equipo. Podeis dejarla en modo dinámico, para que pfSense la configure.

    Sus LANs (red interna del router) deben ofrecer servicio DHCP. Y, por supuesto, la subred empleada tiene que ser distinta a la que emplee la LAN de pfSense (y WAN del D-Link).

    El PC debe tomar pues dirección IP en el rango de las LANs del D-Link.

    Adjunto imagen de las conexiones, sacada del manual de D-Link.

    O sea que esto está pensado para que:

    [Internet] --1-- [Enrutador ADSL] --2-- [pfSense] --3-- [D-Link] --4-- [Equipos]
    
    o
    
    [Internet] ----- [Puente ADSL] --1-- [pfSense] --3-- [D-Link] --4-- [Equipos]
    

    1 (internet) , 2, 3 y 4 subredes distintas

    En resumen, vuestro D-Link hace muchas cosas. La instalación es pues algo redundante. Eso ya depende de qué querréis hacer. Con un punto de acceso simple y llano igual sería todo más claro.

    ![Captura de 2013-12-20 09:30:49.png](/public/imported_attachments/1/Captura de 2013-12-20 09:30:49.png)
    ![Captura de 2013-12-20 09:30:49.png_thumb](/public/imported_attachments/1/Captura de 2013-12-20 09:30:49.png_thumb)


  • Rebel Alliance

    Digo….  :P

    Por que No simplificas tu instalación:

    En lugar de utilizar el D-Link (o cualquier otro "router wi-fi") como "router" no lo utilizas como "simple AP"

    Esto lo consigues:

    • Deshabilitando el servidor DHCP en el "D-Link"

    • A la LAN del "D-Link" le asignas una IP "estática" que se encuentre en el rango de IP de la LAN del pfSense, pero fuera del "Pool" del servidor DHCP

    • Conectas la LAN del pfSense a uno de los puertos LAN del "D-Link"

    Listo.... tienes tu AP  ;)

    Edit: es "LAN" no "AN"  :P




  • Efectivamente, mirando el manual, parece que se puede dejar como dice ptt.

    Está explicado en Connect to Another Router

    http://www.dlink.com/es/es/support/product/dir-600-wireless-n-150-home-router?revision=deu_revb5


  • Rebel Alliance

    He utilizado esta "técnica" con varios de nuestros clientes (WISP) para evitar en doble NAT….

    La única "pega" es que si el cliente "resetea a valores de fabrica" el Router, terminan existiendo 2 servidores DHCP en la red (Rogue DHCP server)  :-\



  • Muchas gracias Bellera y Ptt por sus recomendaciones,

    Realizamos el cambio de configuración del router y lo colocamos como PA.

    En este momento tenemos el servidor "pfSense" por defecto de fábrica, los cambios realizados son los siguientes:

    • En configuración general agregamos los DNS de google

    • Se activó el servidor DHCP en la interfaz de red LAN y se agregó el rango de direcciones IP

    • La interfaz de red WAN tiene activado el servidor DHCP (IPv4)

    Se hicieron dos pruebas:

    • pfSense por defecto de fábrica: A través de la utilidad CMD realizamos PING a los DNS, IP Cliente, Servidor y se enviaron y recibieron paquetes de manera satisfactoria.

    • pfSense con la configuración realizadas: El envío de paquetes fue nulo

    Nota: Al conectar el computador portátil a la red LAN el direccionamiento IP esta dentro del rango establecido en el servidor. Adicionalmente, revisamos que las reglas permitieran todo tipo de tráfico.

    Finalmente, el tipo de conexión de red permite salida a Internet, pero no podemos navegar  :o

    ¿Estaremos excluyendo algún cambio en la configuración para permitir la navegación por Internet?


  • Rebel Alliance

    Por Favor, adjunta capturas de pantalla de:

    "Dashboard"

    "System –> General Setup"

    "System --> Routing Gateways"

    " Interfaces --> WAN"

    "Interfaces --> LAN"

    "Services --> DHCP server LAN"

    "Firewall --> Rules --> LAN"



  • Hola Ptt,

    Adjunto enviamos los pantallazos requeridos  ;)

    Muchas gracias por su atención y colaboración.

    ![01. Dashboard.jpg](/public/imported_attachments/1/01. Dashboard.jpg)
    ![01. Dashboard.jpg_thumb](/public/imported_attachments/1/01. Dashboard.jpg_thumb)
    ![02. Configuracion General.jpg](/public/imported_attachments/1/02. Configuracion General.jpg)
    ![02. Configuracion General.jpg_thumb](/public/imported_attachments/1/02. Configuracion General.jpg_thumb)
    ![03. Routing Gateways.jpg](/public/imported_attachments/1/03. Routing Gateways.jpg)
    ![03. Routing Gateways.jpg_thumb](/public/imported_attachments/1/03. Routing Gateways.jpg_thumb)
    ![04. Interfaz WAN.jpg](/public/imported_attachments/1/04. Interfaz WAN.jpg)
    ![04. Interfaz WAN.jpg_thumb](/public/imported_attachments/1/04. Interfaz WAN.jpg_thumb)
    ![05. Interfaz LAN.jpg](/public/imported_attachments/1/05. Interfaz LAN.jpg)
    ![05. Interfaz LAN.jpg_thumb](/public/imported_attachments/1/05. Interfaz LAN.jpg_thumb)
    ![06. Reglas LAN.jpg](/public/imported_attachments/1/06. Reglas LAN.jpg)
    ![06. Reglas LAN.jpg_thumb](/public/imported_attachments/1/06. Reglas LAN.jpg_thumb)
    ![07. Server DHCP.jpg](/public/imported_attachments/1/07. Server DHCP.jpg)
    ![07. Server DHCP.jpg_thumb](/public/imported_attachments/1/07. Server DHCP.jpg_thumb)


  • Rebel Alliance

    Como que están un poco "pequeñas" las capturas de pantalla…..

    Pero lo primero que debes hacer es eliminar el GW de la LAN

    Las UNICAS interfaces que utilizan GW son las "Tipo WAN" o sea las que se conectan/acceden a internet



  • Buenas tardes Ptt,

    Nos encontramos navegando por Internet con el servicio de pfSense.

    En realidad no nos habíamos fijado en el menú system: Routing Gateways, fue bastante lógica tu aclaración.

    Muchísimas gracias, problema resuelto  ;D


Log in to reply