Permitir entrada de tráfico WAN desde LAN

maykel535

Hola buenas, Estoy usando pfsense 2.1.1 stable, cuando estoy dentro de la red en la LAN y hago un telnet a una ip pública que está usando mi interfaz WAN, no puedo acceder desde la LAN, ejemplo:

telnet 82.14.14.14 80

Por defecto y por seguridad, está deshabilitado para que desde la LAN no se pueda salir hacia internet para entrar por una WAN que usa PFSENSE. En teoría dice, para que vas a salir por fuera para volver a entrar, si puedes llegar internamente…Pero necesito hacerlo así para realizar unas pruebas y el telnet no me entra...Qué opción tengo que habilitar para hacer un telnet a una ip usada en una interfaz WAN desde dentro de la LAN?

Gracias de antemano.

maykel535

He seguido este tutorial pero sigue sin funcionar…

Youtube Video

algorit_32

Saludos , si quieres tener acceso a la ip 82.14.14.14  tienes que crear en Firewall un aliases con la ip que quieres tener acceso desde tu Lan hacia la Wan luego tienes que apuntar esa Aliases en rules de la interface Lan la colocas de primero, te dejo unas imagines de mi configuración para entrar a mis router que están dentro de la WAN  , espero que sea de ayuda .

maykel535

Gracias por contestar, no entiendo bien una cosa de la regla…Qué rango tiene tu LAN? Dónde interviene aquí mi ip pública 82.14.14.14 ... Estás haciendo una regla desde LAN a una ip privada interna también... No veo donde interviene aquí 82.14.14.14 . Sí tengo una red con rango 192.168.1.0/24 en LAN, y quiero acceder a WAN al puerto 80 "telnet 82.14.14.14 80" desde mi lan, crees que esa regla sirve para algo?? No entiendo la verdad...

joselms02

Buenos días, amigo puedes hacerle ping a la dirección 82.14.14.14 ?

maykel535

No, no responde a ping…

algorit_32

Saludos amigo te explico mi escenario , yo tengo una rango de ip 192.168.5.1/24  LAN , y en la WAN tengo un router la cual tiene un rango de ip 192.168.x.1/24  que pasa que desde un principio no pude acceder a la ip detrás de mi LAN la cual estaba en el puerto WAN 192.168.168X.1/24 ni tampoco podía hacer ni realizar ping a dicha dirección  ya que pfsense me bloqueaba las peticiones, este escenario es casi parecido al tuyo la cual  la ip 82.14.14.14  que están en la WAN y no puede acceder ni realizar ping se comporta como la ip de mi WAN 192.168.x.1/24 algo común a tu problema espero aclarar lo mencionad.

joselms02

maykel535, entiendo que no puedes hacerle ping a tu wan, puedes navegar ? yo estoy probando en mi pfsense y no tengo problemas. Prueba desde el pfsense, diagnostico-ping a ver si le llegas a la wan.

Como te digo yo si puedo hacerle pin a mi wan y no tengo nada especial configurado.

Que tienes en tus reglas en a Lan ?

Saludos.-

maykel535

Gracias por contestar chicos. Lo tengo exactamente como tú, excepto que en vez de usar para wan la 192.168.x.1 uso una ip publica fija 82.14.14.14.

El tema es que si realizo un ping o un telnet al puerto 80/443 desde el apartado de diagnostics de pfsense, usando la interfaz LAN, llego perfectamente al ping, al telnet…

Donde no llego es desde un ordenador que está en la LAN.

Incluso he subido la regla al principio de todo en LAN/rules.

Saludos.

ptt

Pues, o no te estas explicando bien, o tienes algo errado en tus reglas de FW….

Tienes corriendo el "webConfigurator" en puerto 80/443 ?

He probado, y sin mayores problemas llego con "Ping" y "Https" a la IP pública asignada a la WAN del pfSense desde un host en la LAN.

Adjunta por favor capturas de pantalla de tus reglas de FW de la LAN / WAN

@maykel535:

en vez de usar para wan la 192.168.x.1 uso una ip publica fija 82.14.14.14.

.

La IP pública que mencionas, responde a los "Ping" perfectamente

Eres cliente de "Virgin Media Limited" del Reino Unido ??? http://bgp.he.net/ip/82.14.14.14

maykel535

Os cuento, ya sé cuál es el problema. El problema es que tengo 2 WAN, que lo podría haber mencionado, y salgo a internet desde la LAN a través de 91.12.23.34.

Antes de nada, las ips públicas que pongo aquí son ficticias.

Entonces tengo la siguiente arquitectura de red:

WAN 82.14.14.14                WAN 91.12.23.34
                                                        |                    |
                                                      _______________
                                                      |    PF SENSE    |
                                                      ________________

|

LAN

Y al hacer ping a 91.12.23.34 me funciona sin problemas, donde no me funciona es al hacer ping a 82.14.14.14, que creo que es porque mi gateway de mi lan es 91.12.23.34. En mi misma LAN y en mi mismo equipo, pongamos 192.168.1.33/24 , tengo puesto un servidor web al puerto 80 que me gustaría acceder dentro de mi lan, pero en vez de usar la ip de la red loca, quiero entrar por wan.

He realizado lo que me habéis comentado en las reglas de pfsense de la lan, pero aún así cuando intento acceder a 91.21.23.34 puerto 80 desde dentro de mi lan, me redirige a la interfaz web de pfsense…

Algo se me escapa??

Gracias de antemano.

ptt

No creo que se deba a "tener 2 WAN"….. Tengo 5 WAN, y llego a las 5 sin problema ;)

cuando intento acceder a 91.21.23.34 puerto 80 desde dentro de mi lan, me redirige a la interfaz web de pfsense…

Es lógico que suceda eso, si tienes el "webConfigurator" escuchando en el puerto 80 ;)

Revisa la documentación: https://forum.pfsense.org/index.php?topic=23409.0

Publicar un servidor en Internet (NAT entrante, NAT Port forward)

Ver (con el mismo nombre) servidores publicados en Internet

https://doc.pfsense.org/index.php/Why_can't_I_access_forwarded_ports_on_my_WAN_IP_from_my_LAN/OPTx_networks

https://doc.pfsense.org/index.php/Port_Forward_Troubleshooting

Hasta ahora, NO has mostrado (alguna captura de pantalla) cómo tienes configuradas la cosas, y sin ver lo que tienes hecho es realmente difícil orientarte ;)

Edit:
      las IP's públicas que utilizas no son Ficticias, son Reales, y las tienen registradas (Virgin Media Limited y Deutsche Telekom AG)…. En lugar de utilizar IP reales de terceros, utiliza las que están destinadas a tal efecto: http://tools.ietf.org/html/rfc5737

amnarl

Saludos mi estimado comparto la opinion de ptt si tienes salida a internet en tu lan deberias hacer ping a cualquier ip publica existente a menos que estas esten protegidas para tal fin. En tu caso seria bueno chequear si no estas trabajando la segunda wan detras de un router o en tal caso con ip privadas. Lo segundo es que no entiendo porque deseas tener un servidor web con ip publica y si estas seguro de ello ya que lo mejor seria tener una dmz para temas de seguridad en tu red de servicios si necesitas ayuda todavia estamos a la orden.

maykel535

Ya he conseguido acceder. El problema efectivamente era la redireccion del puerto 80 al 443. Ya llego a ping a todas las interfaces WAN e ips virtuales.

Al final he realizado esto:

• Lo primero de todo en el apartado de System/Advanced cambiar el
  puerto usado para entrar en pfsense, por ejemplo el 81

• Habilitar check Disable webconfigurator redirect rule

• Ahora en el apartado de Firewall/Nat, nos metemos y buscamos la
  opción de NAT Reflection mode for port forwards y lo habilitamos con
  Enable (NAT + Proxy)

• Luego en Nat/Port forward nateamos el puerto que queramos a la ip
  deseada, un nat normal de WAN TO LAN IP.

Se prueba acceso por ejemplo nateando http a una máquina y se accede sin problemas desde la lan a la ip de la wan.