[SOLUCIONADO] Configuracion NAT de salida



  • Buenas a todos,

    Soy nuevo por aqui y tambien como usuario de pfsense. Despues de leerme cientos de paginas, y no encontrar lo que busco, os cuento mi problema que me trae de cabeza desde hace unos días, con la esperanza de que alguien pueda iluminarme.

    Recientemente he contratado fibra optica. Mi proovedor me ha dado un rango de IP´s /29.
    Auqneu solo voy a utilizar una de ellas, ya que por ahora es mas que suficiente.

    El problema viene cuando intento configurar el pfsense y tener salida desde mi LAN a internet.

    Mi proovedor me ha instaldo un router que redirecciona todo el rango de Ip´s a mi Firewall, el router del proovedor no hace NAT, por lo que necesito configurar de alguna forma el pfsense para que me haga NAT dinamico (palabras del tecnico de mi proovedor) y darle salida a las maquinas de mi LAN.

    Esta es la configuracion:

    ISP:
        Boca externa-> 195.222.xxx.144/29 (IP´s Publicas)
        Boca interna del router -> 192.168.5.1

    pfsense:
          192.168.5.2 - WAN
          192.168.10.2/24 - LAN

    Con esto, todo lo que entra por cualquiera de las IP´s que me da mi proovedor, lo pasa a la interfaz del pfsense.

    Hasta ahora he configurado la interfaz WAN con la IP 192.168.5.2, y como Gateway, la 192.168.5.1
    La parte LAN, pues en mi caso, 192.168.10.2

    Con esta configuracion, consigo hacer ping desde el propio pfsense a cualquier IP, tanto al exterior, como a cualquier equipo de mi red interna.

    El problema que me trae de cabeza es que no soy capaz de salir a internet desde mi LAN.

    He creado una IP Virtual, en mi caso la 195.222.xxx.145

    He probado a hacer todo tipo de combinaciones, incluso cosas absurdas, ya que no sabia que mas probar.y estoy muy perdido, ya no se como hacer, que incluso no es posible, cosa que me extrañaria.

    Tengo el Outbound en modo manual y una regla creada, que no se si estará bien

    Interface: WAN
    SOURCE: 192.168.10.0/24
    SOURCE PORT:*
    DESTINATION: 192.168.5.0/30
    DESTINATION PORT: *
    NAT ADDRESS: 195.222.xxx.145
    NAT port: *
    Static Port: NO

    Como digo, no se si lo estaré haciendo bien o si me falta algo. Seguro que es muy facil, pero despues de tantas horas peleandome, ya estoy desesperado y no veo la luz.

    Un saludo y gracias de antemano.



  • Interface: WAN
    SOURCE: 192.168.10.0/24
    SOURCE PORT:*
    DESTINATION: 192.168.5.0/30
    DESTINATION PORT: *
    NAT ADDRESS: 195.222.xxx.145
    NAT port: *
    Static Port: NO

    DESTINATION tiene que ser any (cualquier ip de destino) o negado 192.168.5.1 (evitar NAT para el enrutador).

    Si no funciona, creo que en este caso lo mejor sería que el equipo de conexión de la fibra estuviera en modo puente y que la WAN de pfSense tuviera una de las IPs públicas.

    Con esto y el NAT Outbound en automático, asunto concluido.

    También puede que el equipo ya esté en modo puente y no enrutador. Prueba pues a configurar la WAN con una de las IPs públicas y con la puerta de enlace que tenga el ISP (no 192.168.5.1, la ip pública del primer dispositivo del ISP más allá de tu enrutador).



  • Muchas gracias por la rápida respuesta.

    Despues de probar lo que me recomendaste, siento decir que no ha funcionado.

    Me pondré en contacto con mi proovedor para que hagan ellos el NAT y me enruten una de las IP´s publicas hacia el pfsense, como tambien me comentabas.

    Muchas gracias!



  • Si no funciona, creo que en este caso lo mejor sería que el equipo de conexión de la fibra estuviera en modo puente y que la WAN de pfSense tuviera una de las IPs públicas.

    Con esto y el NAT Outbound en automático, asunto concluido.

    Si te dejan el equipo en modo puente, tú tienes la IP pública en WAN y haces el NAT hacia ella. Ellos no hacen nada, salvo cambiar el medio (Ethernet a fibra óptica) i darte la puerta de enlace para tu WAN.



  • Hola bellera,

    Hoy he vuelto a hablar con ellos, y bueno, he conseguido hacer funcionar todo, pero no con pfsense. ahoar estoy intentando hacer lo mismo con pfsense, te explico.

    Despues de una conversacion con los tecnicos de mi proovedor, y conseguir entender lo que estaba pasando, el problema tiene facil solucion, necesit enmascarar la IP privada para que pase a ser la Publica.

    En mi caso, he hecho unas pruebas con SOPHOS (por si te suena de algo), he instlado esa version para probar, ya que he podido conseguir soporte del propio fabricante y asi ayudarme a resolver el problema.
    Despues de comprobar que todo funciona, ahora quiero hacer que funcione en pfsense.

    En resumen, la idea es enmascarar la IP, pero no encuentro la forma de hacerlo en pfsense.

    En pfsense tengo que crear la IP VIRTUAL, despues en el NAT:outbound es donde deberia crear la regla, para que salga por la VIP creda, pero… no acaba de funcionar.

    ahora mismo estoy reinstalando todo desde cero, por si hubiese alguna configuracion oculta que este dando problemas.

    seguirñe informando.

    ACTUALIZACION----------------

    Despues de reinstalar todo el sistema.... ha funcionado.  :o :o :o :o

    Configuradas las tarjetas como explciaba al principio dle POST.
    Creadas las IP VIRTUALES
    EN NAT:Outbound, configurada como me decias...

    ...

    y ahora si que tengo salida a internet, pero con una curiosidad...

    He puesto que me saliese por la interfaz, xxx.xxx.xxx.145 y puedo navegar y tal, pero al comprobar mi ip publica a traves de cualesmiip.com... me dice que mi ip publica es xxx.xxx.xxx.150

    He probado a ir cambiando entre las diferntes VIP´s que he creado, y siempre me da la misma IP Publica...



  • Esta problemática me recuerda a una instalación con fibra de Movistar, donde había algo especial. Creo que montaban una VLAN, pero veo que no es exactamente lo mismo.

    Dijiste haber configurado un equipo con el cortafuegos de Sophos. ¿Qué hiciste ahí, porque todos los cortafuegos se parecen.

    En cuanto a la ip que te dan estos servicios, mira varios. Hay algunos capaces de ver si estás pasando por un proxy del proveedor.

    También puedes hacer tracert / traceroute a varios destinos, a ver qué ves.

    Puede que antes no te funcionara porque cuando se trastea con ips y nateos a veces hay que terminar apagando/encendiendo la electrónica. No sé si lo probaste.



  • Hola,

    Cierto es que el pfsense venia de un "trasteo" anterior. Tambien, despues de cada modificacion, suelo reiniciar, para evitar estos probelmas, pero vamos…al final, como ya habia trasteado mucho, decidi reinstalarlo.
    En otra version de FW, un Endian, me pasa lo mismo. Lo he reinstalado de cero, y ahora tengo salida a internet,con igual sintoma, salgo por la .xxx.xxx.xxx.150, aun habiendo configurado la xxx.xxx.xxx.145 (ou cualquier otra del rango)

    Esta es la ultima ip del rango, cosa curiosa, (o quizas no). Pero resulta llamativo que me de como IP publica,justo la ultima del rango.

    Con el SOPHOS, con el que hice la primera configuracion exitosa, salgo con cada IP que yo configuro, es decir, si pongo como salida por la IP xxx.xxx.xxx.145, pues me da esa IP publica, y asi con el resto de IP´s del rango.

    Lo que hice en este caso con el SOPHOS, seguir las indicaciones de un compañero, que da soporte a este FW.
    Simplemente añadi "direcciones adicionales", lo que viene siendo una VIRTUAL IP en pfsense.

    Y nada, luego en el NAT de salida, hacer que el trafico de la LAN interna (192.168.10.x/24) salga por la WAN (192.168.5.0/30) y que haga NAT a xxx.xxx.xxx.145 (Una de las IP PUBLIGAS DEL RANGO).
    Es justamente lo que me comentabas, y lo que esatba haciendo. No funcionaba, no se porque, pero despues de reinstalar, la configuracion ha sido la misma, en este caso, funcionando.

    Lo que me comentas de la VLAN, pues no se si este es el caso, no te lo puedo confirmar, lo que si, mi ISP tambien es MOVISTAR, jeje mira tu que coincidencia.

    Voy a seguir trasteando y seguiremos informando, que la verdad...es raro esto...

    Muchas gracias por tu tiempo!



  • 1. Díme el modelo del equipo de fibra. Si no está delante, mira debajo. A ver si en algún foro de conectividad a internet encuentro cómo configuran esto por defecto.


    2. Suponiendo que tu asignación sea 195.222.XXX.144/29 tu rango es 195.222.XXX.144 - 195.222.XXX.151

    Y, por supuesto, la 150 es tu último host posible. Me temo que esa IP la debe estar ocupando el enrutador de Movistar en su lado público.

    Puedes probar a pinguear está IP, a ver si da un tiempo muy bajo.

    Yo probaría lo siguiente:

    • Guardar config.xml en lugar seguro, para poder restaurar la configuración.
    • Eliminar la IP virtual.
    • Asignar a WAN la 195.222.XXX.145/29
    • Asignar como puerta de WAN la 195.222.XXX.150/29
    • Poner NAT Outbound en modo automático


  • Buenos días,

    Aquí estamos de nuevo, con buenas noticias, por fin funciona!

    Decir que todo ha sido un cumulo de errores por mi parte y "misterios de la informática".

    Toda la configuracion que me habias propuesto en tu primera respuesta, era correcta, salvo una salvedad.

    Esta es tu propuesta

    nterface: WAN
    SOURCE: 192.168.10.0/24
    SOURCE PORT:*
    DESTINATION: 192.168.5.0/30
    DESTINATION PORT: *
    NAT ADDRESS: 195.222.xxx.145
    NAT port: *
    Static Port: NO

    y esta es la que al final ha funcionado

    nterface: WAN
    SOURCE: 192.168.10.0/24
    SOURCE PORT:*
    DESTINATION: *
    DESTINATION PORT: *
    NAT ADDRESS: 195.222.xxx.145
    NAT port: *
    Static Port: NO

    La diferencia,  DESTINATION, que en mi caso la deje en "any". De esta manera conseguí tener salida.

    Ahora te cuento el porque a veces funcionaba y otras no.

    Despues de pelear ayer toda la tarde y no encontrar explicacion del por qué, me di cuenta de los siguientes fallos/pistas.

    En los servidorer DNS de mi LAN, tenia unas entradas HOST A estaticas, entre ellas estaba mi IP 192.168.10.2, asignada al firewall ,digamos viejo. con el que hice las primeras pruebas.

    Luego al instalar el pfsense, le asigne la misma IP, pero diferente HOSTNAME,esto hacia, que al intentar salir, fuese a la puerta de enlace correcta (192.168.10.2) pero por otro lado intentaba conectar/resolver el HOSTNAME de mi FW viejo,que al estar apagado…pues logicamente...habia una liada padre.
    (puede añadir este punto a tus recomendaciones a la hora de instalar un firewall, un fallo grave,pero que si no te das cuenta...te pasa como a mi)  ;)

    Esto seguia sin explicar, porque con SOPHOS, teniendo la mima IP y diferente HOSTNAME, si que conseguia salir a internet. Esta parte sigo sin entenderla, pero la cosa funcionaba, yo no saber, yo no entender.

    Por otro lado, tenia 2 equipos para hacer pruebas, uno de ellos tenia las DNS, digamos, sin actualizar, por lo que al resolver las DNS, pues unas veces salia por el FW activo, y otras intentava resolver el HOSTNAME viejo.Lo solucioné vaciando las cachés DNS.

    La pista, gracias a un tracert, me di cuenta de todo esto, que resolvia la IP correcta, pero mal el HOSTNAME, y a raiz de esto, me di cuenta del servidor DNS y el resto es... ofuscacion y no fijarse, sino, ya estaría funcionando desde el primer dia, fallito mio. >:(

    Asi que aqui zanjamos mi problema, no sin antes agradecerte tu tiempo y paciencia para ayudarme.

    Un saludo,



  • ¡Enhorabuena!

    Pero precisamente te dije que tenía ser any… Supongo que con las prisas no leíste bien el mensaje.

    @bellera:

    Interface: WAN
    SOURCE: 192.168.10.0/24
    SOURCE PORT:*
    DESTINATION: 192.168.5.0/30
    DESTINATION PORT: *
    NAT ADDRESS: 195.222.xxx.145
    NAT port: *
    Static Port: NO

    DESTINATION tiene que ser any (cualquier ip de destino) o negado 192.168.5.1 (evitar NAT para el enrutador).

    Al repetir tu configuración y poner la nota debajo quizás quedó algo confuso.

    Repito. Me alegro de que ya esté operativo.



  • Buenas,

    Tengo al parecer el mismo problema, sólo que no consigo salir por otras de las IPs del rango que no sea por la del pfsense:

    Hace poco he cambiado de proveedor de inet y por tanto, de rango de direcciones publicas.
    La configuración funciona pero cuando pruebo whatismyip, todo el tráfico siempre sale por la misma IP, (la que tiene puesto el pfsense)

    Dentro de Firewall/Virtual IPs tengo:
    Virtual IP address Interface Type Description
    89.140.XXX.16/28 WAN proxy arp

    Dentro de Firewall/NAT/1:1 tengo:
    Interface External IP Internal IP         Destination IP
    WAN         89.140.XXX.22 192.168.1.184 *
    WAN         89.140.XXX.28 192.168.1.235 *
    WAN         89.140.XXX.29 192.168.1.233 *
    WAN         89.140.XXX.30 192.168.1.234 *

    adicionalmente, dentro de Firewall/NAT/Outbound tengo:

    {Modo Automático}
    Interface Source         SourcePort Destination DestinationPort NAT Address NATPort         StaticPort
    WAN  192.168.1.0/24 *                 *                 500                 WAN address *                 YES [Auto created rule for ISAKMP - LAN to WAN]
    WAN  192.168.1.0/24 *                 *                 *                 WAN address *                 NO [Auto created rule for LAN to WAN]
    WAN  127.0.0.0/8 *                 *                 *                 WAN address 1024:65535      NO [Auto created rule for localhost to WAN]
    WAN  192.168.3.0/24 *                 *                 *                 WAN address *                 NO [Auto created rule for OpenVPN server]

    ¿Que se me escapa, qué más tengo que configurar o que mas podría probar? Con el rango del proveedor anterior no tenía éste problema y la configuración del pfsense me he asegurado de que sea la misma.

    ¡Gracias de antemano!



  • WAN      192.168.1.0/24    *                   *                   *                   WAN address    *                    NO    [Auto created rule for LAN to WAN]
    

    ¿En qué quedamos? ¿Está en automático o en manual el NAT Outbound?

    Entiendo que si está en automático, el NAT 1:1 debería hacer la función. Si está en manual, entonces deberías tener algo como:

    WAN         192.168.1.184     *                   *                   *                  89.140.XXX.22   *                    NO
    

    Si en lugar de NAT 1:1 hicieras NAT Port Forward de los servicios que tienes en 192.168.1.184 deberías hacer lo mismo para el NAT Outbound (manual y mapeo anteriormente expuesto).

    De todas maneras siempre hay que pensar que en un MultiWAN o con varias IPs públicas en WAN una conexión iniciada desde un equipo interno saldrá siempre por la puerta por defecto, a menos que:

    • En MultiWAN hayamos definido otra puerta mediante las reglas en LAN para ese equipo.
    • Con varias IPs públicas hayamos tuneado el NAT tal como se comenta más arriba.


  • Confirmado. NAT Outbound está en automático, y está claro que no funciona  :(

    Probaré NAT Port Forward con NAT Outbound en manual.

    ¡Muchas gracias por la explicación!



  • Después de probar esto…
    Sigue sin funcionarme.  :(

    Es más, no podía acceder a Internet desde ninguna máquina excepto la de la regla (192.168.1.184) y por la misma IP de siempre
    He tenido que dejar por encima la que apunta a la WAN para que funcionara pero igualmente no sirve de nada.
    Además, no puedo poner en "Source" una IP como ponías en el ejemplo anteriormente en el NAT manual. Solo me deja poner 'any' o lo que está puesto ahora (192.168.1.0/24)
    ¿Al funcionar en manual, debería borrar todas las entradas que se crearon automáticamente?

    Adjunto configuraciones.

    Creo que el problema viene de más atrás, ya que esta configuración la tenía igual de otro pfsense de cual copié la configuración. Lo único que cambié fue lo referente al direccionamiento IP externo del proveedor

    Perdidísimo estoy

    ![NAT Outbound.jpg](/public/imported_attachments/1/NAT Outbound.jpg)
    ![NAT Outbound.jpg_thumb](/public/imported_attachments/1/NAT Outbound.jpg_thumb)
    ![Port Forward.jpg](/public/imported_attachments/1/Port Forward.jpg)
    ![Port Forward.jpg_thumb](/public/imported_attachments/1/Port Forward.jpg_thumb)



  • A ver…

    Configura NAT 1:1 como lo tenías y NAT Outbound en modo automático.

    Postea el resultado de Diagnostics: Command prompt para el comando:

    pfctl -s nat | grep binat
    

    Esto tiene que dar una línea semejante a (em1 es la interfase WAN en el ejemplo):

    binat on em1 inet from 192.168.1.184 to any -> 89.140.XXX.22
    

    External IP: 89.140.XXX.22
    Internal IP: 192.168.1.184

    NAT bidireccional. Es decir, lo que venga de 192.168.1.184 debe traducirse a 89.140.XXX.22 y lo que venga de 89.140.XXX.22 a 192.168.1.184.

    Me extraña que no funcione pues justamente es el ejemplo que hay en el libro oficial de pfSense, con una IP Virtual en WAN.



  • La otra solución, usando NAT Outbound manual y NAT Port Forward, para los servicios publicados.

    Al activar NAT Outbound manual se ven las reglas del NAT Outbound automático.

    Ver imagen para una LAN 192.168.1.0/24

    ![Captura de 2014-07-09 19:07:24.png](/public/imported_attachments/1/Captura de 2014-07-09 19:07:24.png)
    ![Captura de 2014-07-09 19:07:24.png_thumb](/public/imported_attachments/1/Captura de 2014-07-09 19:07:24.png_thumb)



  • Y si en NAT Outbound juegas con máscaras 32 y orden de aplicación de los NAT, según imagen…

    tendrás algo como:

    $ pfctl -s nat | grep em1
    nat on em1 inet from 192.168.1.0/24 to any port = isakmp -> 89.140.XXX.20 static-port
    nat on em1 inet from 192.168.1.184 to any -> 89.140.XXX.22 port 1024:65535
    nat on em1 inet from 192.168.1.0/24 to any -> 89.140.XXX.20 port 1024:65535
    nat on em1 inet from 127.0.0.0/8 to any -> 89.140.XXX.20 port 1024:65535
    

    siendo em1 la interfase WAN, 89.140.XXX.20 su IP real y 89.140.XXX.22 la virtual.

    Espero haberme explicado…

    ![Captura de 2014-07-09 19:12:23.png](/public/imported_attachments/1/Captura de 2014-07-09 19:12:23.png)
    ![Captura de 2014-07-09 19:12:23.png_thumb](/public/imported_attachments/1/Captura de 2014-07-09 19:12:23.png_thumb)



  • Gracias por toda las explicaciones pero sigue sin funcionar. Después de hacer esto, voy a whatismyip y sigue saliendo por la que acaba en 21, aunque los resultados de Diagnostics son como dices (posteo resultados)

    El caso es que he llamado a ONO, y me asegura que está saliendo tráfico desde las IP's en donde he puesto NAT. Es como si permitiese los puertos pasivos, pero el resto no, y sin embargo he especificado claramente en port forward el puerto 80…  ??? Raro, raro

    ¿Cómo puedo probar (que no sea whatismyip) que el tráfico efectivamente está saliendo por la IP externa especificada? ¿Puede ser que whatismyip se pruebe por un puerto que no sea el 80?






  • Tienes un rdr (NAT Port forward) que sobra para el NAT 1:1

    Del libro oficial de pfSense…

    Port forwards also take precedence over 1:1 NAT. If you have a port forward on one external IP address forwarding a port to a host, and a 1:1 NAT entry on the same external IP address forwarding everything into a different host, then the port forward will still be active and working sending that one port to the original host.

    Por favor, deja todo en NAT 1:1 para que podamos aclararnos. O es una solución o es la otra.

    Y deja NAT Outbound en automático, pues tienes combinaciones que tampoco vienen al caso si estás haciendo NAT 1:1.

    También del libro oficial de pfSense…

    1:1 (pronounced one to one) NAT maps one public IPv4 address to one private IPv4 address. All traffic from that private IPv4 address to the Internet will be mapped to the public IPv4 address defined in the 1:1 NAT mapping, overriding your Outbound NAT configuration. All traffic initiated on the Internet destined for the specified public IPv4 address will be translated to the private IPv4, then evaluated by your WAN firewall ruleset. If the traffic is permitted by your firewall rules to a target of the private IPv4 address, it will be passed to the internal host.

    Postea de nuevo

    pfctl -s nat | grep bge0
    


  • @Laserman:

    El caso es que he llamado a ONO, y me asegura que está saliendo tráfico desde las IP's en donde he puesto NAT. Es como si permitiese los puertos pasivos, pero el resto no

    No entiendo bien qué quieres decir con puertos pasivos.



  • @Laserman:

    ¿Cómo puedo probar (que no sea whatismyip) que el tráfico efectivamente está saliendo por la IP externa especificada? ¿Puede ser que whatismyip se pruebe por un puerto que no sea el 80?

    ¿Desde dónde haces esta prueba?

    Supongo que la estarás haciendo desde cada equipo interno  (.184, .235, .233 y .234) para cada IP externa.

    Y que no hay de por medio ningún servicio proxy (squid)…



  • Muy buenas, ¡¡por fin lo arreglé!!  ;D ;D ;D

    El problema era squid. Lo tenía habilitado
    En algún momento si que deshabilité y paré el servicio, pero con eso no hacía nada. Había que deshabilitar "Transparent proxy".

    Al mirar en Diagnostics> States y ver tráfico saliendo desde las IP's externas que había especificado, y después de confirmar ésto con el proveedor, me dio una pista cuando ví en las reglas esto: "1024:65535". El trafico que pasaba por estos puertos salía, pero no por el resto (como el 80)…
    ...y cuando me dijiste squid al final, lo tuve claro.  :)

    Muchísimas gracias por todo bellera  :)