ACCESO REMOTO



  • BUENAS NOCHES DE NUEVO, SI NO ES MUCHA MOLESTIA, ALGUIEN PUEDE AYUDARME A CONFIGURAR MIS REGLAS PARA PERMITIR ACCESO A MI PFSENSE DESDE OTRO PC CON INTERNET?
    NO TENGO IP FIJA EN WAN, SERA NECESARIO ASIGNARLA?



  • ¡Hola!

    Este tema se ha discutido ya varias veces …

    1. Poner la interfase web de pfSense en un puerto que no sea ni 80 (http) ni 443 (https), webGUI port. Muy recomendable trabajar en modo seguro. Botón HTTPS, http://www.bellera.cat/josep/pfsense/imatges/system_general_setup.gif

    2. Poner la interfase SSH de pfSense en un puerto que no sea el 22 (ssh) en SSH port, http://www.bellera.cat/josep/pfsense/imatges/system_advanced_functions_1.gif

    3. Hacer NAT Port Forward en WAN para los puertos escogidos hacia la IP de la LAN de pfSense, http://www.bellera.cat/josep/pfsense/nat_cs.html#forward. Cuando se crean los NAT también se crean reglas en WAN para admitir el tráfico, las cuales no interferirán con las reglas por defecto de pfSense al haber cambiado los puertos de administración.

    4. Si en el lado WAN de pfSense tienes un router ADSL tendrás que hacer NAT hacia la WAN de pfSense y cerciorarte que el router admite el tráfico entrante.

    5. Para saber tu IP dinámica lo mejor es configurar en tu router ADSL la opción DynDNS, https://www.dyndns.com/services/dns/dyndns. La mayoría de routers ADSL tienen esta posibilidad. También la tiene pfSense si no tienes un router ADSL en el lado WAN …

    6. Tienes otras posibilidades para administrar tu pfSense desde Internet: puedes emplear culaquiera de las posibilidades VPN de pfSense (IPSEC, OpenVPN) o conectarte a un servicio SSH que esté en tu LAN estableciendo un túnel, empleando un cliente como PuTTY. Estas opciones son mucho más seguras que lo explicado de 1 a 4. Con ellas no expones tu cortafuegos en Internet.

    Saludos,

    Josep Pujadas



  • ¡Hola Bellera!

    Seguí tus instrucciones y el acceso remoto a la WebGui funciona perfectamente. Configuré el Dynamic DNS (No-IP) y puedo accederlo perfectamente.

    Lo que me llama la atención es que si hago un ping desde otra PC en Internet al dns dinámico que configuré, no me contesta.

    Busqué en el foro "permitir ping wan" y no me sale nada relacionado con este tema.

    Alguna manera de configurar el pfsense para que conteste los pings a la WAN desde Internet?

    Mi configuración es:

    MODEN ADSL (Cisco 677)<–-->pFsense<---->LAN
                                                         PPPoE
                                                         DynDNS

    Saludos Amigo.

    Luciano



  • ¡Hola!

    Por lo que dices, es pfSense quien toma la IP pública. Entonces tienes que admitir tráfico ICMP entrante con una regla en WAN …

    Pero ¿por qué quieres que tu instalación conteste a ping? Es más seguro que no conteste ...

    Saludos,

    Josep Pujadas



  • ¡Hola!

    Efectivamente estás en lo cierto, como en tantas otras ocasiones en las que me asististe.

    Te comento el porque de la respuesta al ping:

    tengo montado un servidor de monitoreo basado en Nagios (http://es.wikipedia.org/wiki/Nagios). Este a su ves, para monitorizar el estado de los equipos, primero los contacta a traves de un ping.

    Esto surgió ya que me interesa adelantarme a los problemas utilizando esta herramienta. Vi que en los paquetes de pfsense esta el cliente para Zabbix (Zabbix Agent (1.4)) pero no he podido dar en la tecla con la configuración del servidor Zabbix (http://www.zabbix.com/).

    De momento me baso en Nagios que no requiere la instalación de ningún Agente para saber si el equipo esta activo.

    Cuando configure Zabbix confeccionaré un post con su configuración y uso.

    Gracias nuevamente Bellera.

    Saludos

    Luciano



  • ¡Hola de nuevo!

    Buenas herramientas …

    En este caso com supongo que accedes siempre desde la misma IP con Tu Nagios pon en la regla que autorice el tráfico ICMP la IP pública que tienes como único origen posible del tráfico ICMP entrante.

    Siempre hay gente que anda haciendo pings y otras cosas con ICMP y no sabes nunca por qué ... Más vale prevenir ...

    Saludos,

    Josep Pujadas



  • Gracias Bellera.

    Voy a tener en cuenta tu sugerencia.

    Muchas gracias

    Saludos

    Luciano



  • Amigos yo he seguido los pasos que dice el amigo ballera, y he podido acceder hasta el modem ADSL pero no he podido ingresar al sistema desde otra red.
    abro en el Moden ADSL el puerto 8443 y el puerto 22. pero nada que puedo acceder al pfsense. Que podra ser. MI modem es un Huawei similar a las caracteristicas de este http://www.adslzone.net/huawei.html. Sigo los pasos que me dice el manual, y las intrucciones de ballera. y no puedo acceder al sistema pero si al modem



  • Hola mquinter!

    Bueno, el tema es simple, pero necesitariamos algunos datos mas sobre como conectas pfsense con el modem huawei.

    1º) Estableces maracación (discado) a internet via PPPoE?
      1ºA) La marcación (discado) la realice el Huawei o el pfsense?
    2º) En el caso de que esté marcando el Huawei, porque no rediriges todo el
        tráfico a la dirección WAN de tu pfsense, en esta imagen se ve la primera regla (All Ports)
        de NAT Server Set donde tendrías que reemplazar los números 0.0.0.0 por la dirección IP
        de la interfáce WAN de pfsense.

    3º) Luego tienes que cambiar el puerto por defecto de la WebGui (System:General Setup), por ejemplo
        10444 y crear una regla en el pfsense que permita el acceso desde Internet
        en Firewall -> Rules te tendría que quedar algo como la imágen que te
        adjunto.
    4º) Si aportas un poco mas de información sobre como tienes configurada tu red
        sería ideal para ver como orientarte en la configuración.-

    Saludos

    Luciano




  • hola disculpen ya se que este tema ya lo han hablodo mucho, pero ya hice lo que dice bellera mi pregunta es yo tengo un ADSL 2ware y el puerto donde conecte el pfsense en el ADSL lo configure como DMZ, aun asi se tiene que hacer la redireccion del puerto "NATEO" o asi como DMZ sale sin ningun problema



  • necesitas crear una regla en pfsense que te deje acceder a la interface de administración.

    en mi post anterior hay una imagen que lo ilustra.

    Saludos

    Luciano


Log in to reply