VIP no funciona


  • Rebel Alliance

    https://doc.pfsense.org/index.php/1:1_NAT

    Verificaste que esté llegando trafico a la WAN/VIP ? (función captura de paquetes: "Diagnostics --> Packet Capture")



  • en realidad lo unico que quiero es que funcione tal cual 1:1 en los tipos de ]VIPS el ip alias es el mas optimo, pero igual no funciona. como dije antes los probe todos… dejame chequear lo que dices de los paquetes a ver


  • Rebel Alliance

    Como referencia adjunto algunas capturas de pantalla de una prueba rápida que realicé:

    • Crear la IP Virtual en la WAN (pf_FW_VIP_Edit.png)

    • Crear/Editar el NAT 1:1 (pf_FW_1to1_NAT_Edit.png / pf_FW_1to1_NAT.png)

    • Permitir tráfico mediante regla de FW en la WAN hacia el host en la LAN (pf_FW_WAN_Rule_1to1_NAT.png)

    Chequear mediante http://www.yougetsignal.com/tools/open-ports/ que el puerto (443) esté abierto

    Verificar, en el pfSense, que el tráfico llegue al host de la LAN, a través del NAT 1:1/VIP (Diagnostics –> States)










  • gracias por tu tiempo, es exactamente lo que hago y no funciona, ahora pregunto por solo curiosidad que tiene que ver el puerto 443?
    de igual no he estado en la ofi y no he podido probar lo de los paquetes..


  • Rebel Alliance

    En tu caso utilizas el puerto 80, en el mío el 443 ;)

    VIP 1.1.1.242 en la WAN 1.1.1.242 accediendo/1:1NAT al puerto HTTPS de un host en la LAN 172.20.203.242

    En tu regla de FW de la WAN tienes/probaste  Source: "ANY" y Port "ANY"

    Adjunta capturas de pantalla de lo que tienes configurado, generalmente es mas fácil "ver" los errores en las capturas de pantalla ;)



  • hola! nada que he podido :( ya he intentado de todo. ahora la redirecciones de puertos con la ip publica que le asigno a la WAN si funcionan perfectamente.. he hecho tal cual lo que dicen y no funcionan



  • coloco mis captura de pantalla de la configuracion, a ver si a alguien se le ocurre algo mas. cabe destacar que tambien tengo seleccionado la opcion en systema -> advance ->  firewall nat -> Enable NAT Reflection for 1:1 NAT.
    esto me esta volviendo loco…. por favor ayuda...








  • como referencia este video al que segui todos los pasos



  • ¿Están tus IPs públicas respondiendo desde otro enlace? Por ejemplo, ¿contestan a ping?

    Lo primero a saber es si tus IPs públicas están presentes en internet o no.


  • Rebel Alliance

    ^
      Exacto ;) verificar que el tráfico "llegue a la VIP"

    Es lo que le había indicado verificar en mi primer post en el hilo (no mediante Ping/ICMP, pero creo que de una manera valida también):D

    https://forum.pfsense.org/index.php?topic=77880.msg424576#msg424576



  • beno les comento que es algo extraño, porque desde afuera no le puedo hacer ping ni a la direccion ip publica fija de la wan, hace 30min trate de abrir la ip publica que tengo en la VIP desde mi celular y  funciono, sin yo mover nada, trate desde el navegador de la pc y no abre, luego fui al cel y abri otra vez la pagina y ya no abria, en este mismo instante acabo de volverla a abrir desde mi cel. alguna teoria? como puedo habilitar que responda a los ping, desde la red interna la VIP responde al ping


  • Rebel Alliance

    Regla de FW en la WAN, permitiendo ICMP a la IP de la WAN o de la VIP, dependiendo lo que necesites/quieras probar ;)
    Si no me equivoco, si utilizas "WAN net" en lugar de "WAN address" estarías incluyendo las VIPs (que se encuentran en el segmento de red de la WAN).

    ![pf_FW_Allow_Ping_To WAN.png](/public/imported_attachments/1/pf_FW_Allow_Ping_To WAN.png)
    ![pf_FW_Allow_Ping_To WAN.png_thumb](/public/imported_attachments/1/pf_FW_Allow_Ping_To WAN.png_thumb)



  • en efecto, me responde la ip publica que tengo en la wan pero no responden a las VIP, que deberia verificar?


  • Rebel Alliance

    Verifica, en la tabla, que el "Tipo" de VIP, que estás utilizando, responde a ICMP

    https://doc.pfsense.org/index.php/What_are_Virtual_IP_Addresses#VIP_Features_Table



  • esto usanso alias, por la tabla esta soporta icmp… ya me estoy volviendo loco, si te doy acceso tu podrias verificar?


  • Rebel Alliance

    @firstalert:

    esto usanso alias, por la tabla esta soporta icmp…

    Además de que el Tipo de VIP Responda a los ICMP, debes crear la regla permitiendo "PING" a la VIP. Has creado dicha regla ?

    Verificaste que el tráfico llegue a la VIP (capturando paquetes en la interface) ?

    Otra cosa que puedes probar, es borrar/eliminar las VIPs, y luego cambias la IP de la WAN por una de las IPs que utilizabas en las VIPs (que se supone tu ISP te asignó) y si "pierdes la salida a internet" eso indica que hay un problema con las IPs "adicionales" que te entrega tu ISP.

    @firstalert:

    si te doy acceso tu podrias verificar?

    Lamentablemente No, primero por cuestiones de horario, y luego porque no me dedico a prestar ese tipo de servicio.

    Si nos indicas de que País / Zona eres, es posible que alguno de los compañeros, que esté en tu Zona/País, y se dedica a prestar ese tipo de servicios te pueda ayudar.



  • si, he creado la regla correspondiente, he verificado las ips publicas, anteriormente todo funcionaba bien con el fortinet….. ahora segun los calculos de la subnet para mi seria 29 esa es la que coloco cuando asigno la ip fija y todo va ok, ahora cuando creo el VIP me cambia la mascara a 32, tendra algo que ver esto?



  • que alguien confirme que las vip funcionan en la versión 2.1.3, en el foro de ingles muchas personas se quejan de lo mismo y no han tenido otra solución mas que regresar a las versiones anteriores.



  • Por favor, Attachments and other options + Attach imágenes de lo que tienes hecho.

    enlaces de los posts en inglés en que hablan del problema.

    Documentemos, documentemos, documentemos y quizás ayudemos… (podamos ayudar).



  • ok, voy a tratar de ser lo mas explicito posible.

    tengo 3 ips publicas certificadas por mi ISP

    de la 203 a la 205

    200.XXX.XXX.203
    200.XXX.XXX.204
    200.XXX.XXX.205

    el gateway es 200.XXX.XXX.201

    comienzo: escogo cualquiera de las ips en este caso la 203 para asignarla como principal al pfsense, coloque la interfaz wan como ip static y como subnet 29 en gateway cree el 200.XXX.XXX.201, luego en system-> routing cree  0.0.0.0/32 WANGW - 200.xxx.xxx.201 WAN, para poder tener internet, hasta ahora todo bien, tengo internet en la red local conectada a la LAN, en este punto menciono que si cambio la 203 por la 204 igual funciona o la 205 ya las he probado las 3 y si las asigno al pfsense el mismo las obtiene y navego sin problemas.

    ahora bien, necesito asignar las 2 ips restantes para que mediante ellas se puedan acceder a servicio, uno que usa el puerto 80 en un servidor local y otro que usa el puerto 9000 en otro servidor pero dentro de la misma LAN el diagrama seria mas o menos asi:

    200.XXX.XXX.204 -> pfsense -> 192.168.1.9:80
    200.XXX.XXX.205-> pfsense -> 192.168.1.11:9000

    para tratar de lograr esto ( que anteriormente me parecia tan sencillo ) realice los siguientes pasos:

    1: cree una VIP con la ip 200.XXX.XXX.205 con la propiedad de ALIAS ( sub net 29 que es la misma que le coloco a la WAN)
    2: cree la regla nat 1:1 donde seleciono que todo lo proveniente de la ip 200.XXX.XXX.205 lo lleve a la 192.168.1.11
    3 cree la regla del firewall donde acepto cualquier conexion entrante a la ip 192.168.1.11

    tal cual lo dicen las guias, manuales, google, incluso varios compañeros del foro. pero no sucede nada.

    leyendo en el foro y otras paginas de google, han descrito que hay que activar la opcion Enable NAT Reflection for 1:1 NAT dentro de system->advance->firewall-nat, la cual ya tengo activada.
    tambien tengo activada la opcion de NAT Reflection mode for port forwards para poder mantenerme a flote usando la ip que funciona con la WAN y redireccionar las peticiones a los servidores usando la misma ip 200.XXX.XXX.203 con direferente puertos, esto es lo que me ha ayudado por ahora.

    he cambiado el tipo de vip varias veces a ver si esto solucionaba el problema, he colocado puertos especificos, he colocado any en puertos, mas sin embargo no he tenido exito, ayer leyendo en el foro de ingles encontre que varias personas podian hacer funcionar sus VIP con las versiones anteriores y ahora con la version nueva no les funciona aqui coloco los enlaces.
    https://forum.pfsense.org/index.php?topic=75700.0
    https://forum.pfsense.org/index.php?topic=73328.0

    ahora bien he notado que en uno de los post la persona estaba haciendo la regla mal.
    lo cierto del caso es que ya he verificado todo lo que me han dicho y sigue sin funcionar, cambie el equipo donde estaba instalado el pfsense pensando que podia ser cosa de hardware pero esto no resolvio el problema. reinicie el equipo y nada.
    es importante señalar que desde la red hago ping a la direccion 200.XX.XX.205 teniendo la ip configurada en alias y me da respuesta.

    por otro lado a nivel de hardware de red esta asi.

    modemISP->switch4puertos->pfsense->lan
    en el switch de 4 puerto tengo uno de los servidores, y el pfsense, ahora no se si esto sera lo que esta dando el problema, la cuestion esta es que ese servidor no lo puedo quitar de la internet y por eso no me he atrevido a colocar directamente el pfsense al modem del isp, ahora si esto pudiese ser el problema obvio que lo haria en un santiamen.

    gracias a ptt y a bellera por su colaboracion hacen una gran diferencia en esta comunidad…







  • Rebel Alliance

    @firstalert:

    comienzo: escogo cualquiera de las ips en este caso la 203 para asignarla como principal al pfsense, coloque la interfaz wan como ip static y como subnet 29 en gateway cree el 200.XXX.XXX.201, luego en system-> routing cree  0.0.0.0/32 WANGW - 200.xxx.xxx.201 WAN, para poder tener internet, hasta ahora todo bien, tengo internet en la red local conectada a la LAN, en este punto menciono que si cambio la 203 por la 204 igual funciona o la 205 ya las he probado las 3 y si las asigno al pfsense el mismo las obtiene y navego sin problemas.

    No necesitas agregar/crear ninguna Ruta de ese tipo para tener acceso/salida a internet, con el solo hecho de definir el GW para la WAN es suficiente (el pfSense crea automáticamente la ruta para salir a internet).

    Creo que lo mejor que puedes hacer es un "Factory Defaults" y comenzar de nuevo…. ya que es muy posible que estés "arrastrando" algún error anterior.



  • no realice el factory default, pero instale todo desde cero en otro equipo y pasa exactamente lo mismo.. no hace nada :( voy a ver si consigo instalar una version vieja a ver que pasa…


  • Rebel Alliance

    Las pruebas, de las que adjunté capturas de pantalla en el Post#4, las realicé con la versión:

    2.1.3-RELEASE (amd64)
    built on Thu May 01 15:52:13 EDT 2014

    Al reinstalar, supongo No creaste la "Ruta" que mencionas haber creado en el post anterior ;)



  • no, no la cree, solo asigne la ip publica y listo. prosegui a realizar la configuracion de la vip tal cual ya hemos visto, y sigue sin funcionar…



  • Siempre ir por partes…

    Como te dijo @ptt no hay que poner rutas para interfases de pfSense. NUNCA ponerlas.

    Esto es, configuras tu WAN y le indicas la puerta que te dió el proveedor. Nada más.

    Después define los alias de IP para tu WAN con la máscara de tu WAN. Esto último es especialmente importante, pues todas las IPs tienen que estar en el rango que te dió tu ISP, a fin de que se vean entre sí, tengan la misma puerta (la de tu ISP)...

    Hecho esto con Diagnostics: Execute command tendrías que ver algo como:

    $ ifconfig em1
    em1: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
    	options=9b <rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum>ether 08:00:27:57:b2:9f
    	inet 192.168.125.210 netmask 0xffffff00 broadcast 192.168.125.255
    	inet6 fe80::a00:27ff:fe57:b29f%em1 prefixlen 64 scopeid 0x2 
    	inet 192.168.125.199 netmask 0xffffff00 broadcast 192.168.125.255
    	inet 192.168.125.198 netmask 0xffffff00 broadcast 192.168.125.255
    	inet 192.168.125.197 netmask 0xffffff00 broadcast 192.168.125.255
    	nd6 options=3 <performnud,accept_rtadv>media: Ethernet autoselect (1000baseT <full-duplex>)
    	status: active</full-duplex></performnud,accept_rtadv></rxcsum,txcsum,vlan_mtu,vlan_hwtagging,vlan_hwcsum></up,broadcast,running,simplex,multicast>
    

    En el ejemplo em1 es la interfase WAN con IP 192.168.125.210 y máscara 24 (255.255.255.0). Las IPs virtuales son 192.168.125.197, 198 y 199, con la misma máscara.

    La interfase WAN tiene la puerta definida, que se puede ver en System: Routing: Gateways

    Con Diagnostics: Ping se llega a las IPs, tanto desde cualquier Source Address y los alias de IP también aparecen como Source Address.

    Hasta aquí cómo configurar/comprobar tus IPs virtuales en localmente (en el propio pfSense).

    Para las pruebas iniciales olvídate de cualquier NAT entrante. Además, estás haciendo NAT 1:1. No sé si es lo que quieres pero eso publica en internet cualquier servicio del equipo interno. Para publicar un único servicio deberías usar NAT Port Forward. Pero eso es para después, comprobados los alias de IP en WAN a nivel externo.

    Pon una regla en WAN que permita la entrada de ICMP para el destino WAN Subnet (no sólo la IP de la WAN). Esto debería permitirte hacer ping y/o tracert a cualquiera de tus IPs públicas desde otro enlace que no sea el de tu ISP.

    > IPv4 ICMP * * WAN net * * none
    

    Dices tener los servidores en un switch del lado WAN. Entiendo que con las IPs públicas. Estás duplicando IPs. No puedes hacer pruebas fiables en esa situación. Tendrás que buscar una franja horaria de poco uso y/o bien avisar a tus usuarios.

    Sobre los enlaces en inglés no sé qué decirte porque si realmente no funcionan las IPs virtuales creo que el tema habría generado más intervenciones. Es algo usual por parte de mucha gente y se me hace extraño que nadie más haya corroborado el problema. Aunque también hubo varias revisiones (menores) en pocas semanas y puede que muchos tampoco hayan hecho el cambio a la última versión.



  • ok, voy colocando lo que me sale segun tus sugerencias.

    1 , configuras tu WAN y le indicas la puerta que te dió el proveedor. Nada más.
    R: listo solo ip y gateway

    2, Después define los alias de IP para tu WAN con la máscara de tu WAN. Esto último es especialmente importante, pues todas las IPs tienen que estar en el rango que te dió tu ISP, a fin de que se vean entre sí, tengan la misma puerta (la de tu ISP)…
    listo estoy colocando una sola vip por ahora y esta en el mismo rango de la publica y con la misma mascara.

    3, Hecho esto con Diagnostics: Execute command tendrías que ver algo como:

    este es mi resultado:

    $ ifconfig rl0
    rl0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
    options=3808 <vlan_mtu,wol_ucast,wol_mcast,wol_magic>ether 00:e0:4c:77:1a:39
    inet 200.XX.XX.203 netmask 0xfffffff8 broadcast 200.XX.XX.207
    inet6 fe80::2e0:4cff:fe77:1a39%rl0 prefixlen 64 scopeid 0x1
    inet 200.XX.XX.205 netmask 0xfffffff8 broadcast 200.XX.XX.207
    nd6 options=3 <performnud,accept_rtadv>media: Ethernet autoselect (100baseTX <full-duplex>)
    status: active</full-duplex></performnud,accept_rtadv></vlan_mtu,wol_ucast,wol_mcast,wol_magic></up,broadcast,running,simplex,multicast>

    4. La interfase WAN tiene la puerta definida, que se puede ver en System: Routing: Gateways
    si la tiene y es la asiganda pro el ISP 200.XX.XX.201

    5.-Con Diagnostics: Ping se llega a las IPs, tanto desde cualquier Source Address y los alias de IP también aparecen como Source Address.

    Ping output:

    PING 200.x.x.205 (200.x.x.205): 56 data bytes
    64 bytes from 200.x.x.205: icmp_seq=0 ttl=64 time=0.163 ms
    64 bytes from 200.x.x.205: icmp_seq=1 ttl=64 time=0.046 ms
    64 bytes from 200.x.x.205: icmp_seq=2 ttl=64 time=0.042 ms

    –- 200.x.x.205 ping statistics ---
    3 packets transmitted, 3 packets received, 0.0% packet loss
    round-trip min/avg/max/stddev = 0.042/0.084/0.163/0.056 ms
    al parecer si la ve

    6.- Pon una regla en WAN que permita la entrada de ICMP para el destino WAN Subnet (no sólo la IP de la WAN). Esto debería permitirte hacer ping y/o tracert a cualquiera de tus IPs públicas desde otro enlace que no sea el de tu ISP.

    creada tal cual.
    IPv4 ICMP * * WAN net * * none

    7.-Dices tener los servidores en un switch del lado WAN. Entiendo que con las IPs públicas. Estás duplicando IPs. No puedes hacer pruebas fiables en esa situación. Tendrás que buscar una franja horaria de poco uso y/o bien avisar a tus usuarios.

    R: tengo un solo servidor con una ip que no estoy usando para la VIP que es la 206.

    segun todo esto el problema parece ser que no se ven desde afuera, ya que desde diagnostics todo da respuesta..

    voy a ver si puedo quitar el otro servidor por un momento y colocar el pfsense directamente al cablemodem.


Log in to reply