Problema configurando



  • Hola a todos, estoy probando y de paso aprendiendo a configurar los monowall como los pfsense, aunque tengo varios problemas. Les comento mi configuración y el problema en concreto.

    Router Zyxel: 192.168.1.1
    Monowall WAN: DHCP -> 192.168.1.23 que se la proporciona el Zyxel
    Monowall LAN (Wifi): 192.168.2.100
    Monowall DHCP Server: 192.168.2.200 hasta 192.168.2.250
    Portatil: Conecta mediante DHCP y le da la ip 192.168.2.250
    PC de mesa: Conecta mediante DHCP al Zyxel y le da 192.168.1.20

    Desde el portatil puedo hacer ping a todos lo equipos, incluyendo navegar.

    El problema ahora lo tengo cuando intento hacer un ping desde el PC (192.168.1.20) al portatil (192.168.2.250) que no me responde. Tampoco a la LAN del monowall ni a la WAN.

    Me imagino que es porque están en diferentes redes, uno la xxx.xxx.1.xxx y el otro en la xxx.xxx.2.xxx, pero entonces ¿porqué si puedo hacer ping del portatil al resto y también navegar, y no del pc al portatil o al monowall?

    Que alguien me ayude porque ya me tiene loco,  Huh Huh Huh Huh Huh

    Ya se que esto no es un foro sobre monowall pero como pfsense parte de éste, me he decidido a plantear el problema aquí, aunque también ya lo he hecho en el correspondiente foro de monowall (que en español no se mueve tanto como este).

    Saludos a todos.



  • Hola!

    Primero de todo, creo que pfSense tiene más prestaciones que Monowall. Mi opinión es que tendrías que hacer la consulta en http://forum.m0n0.ch/, ya que hablas de Monowall y no de pfSense

    Puede ser que tengas el portátil con dos puertas de enlace o una ruta hacia la ip del Zixel. Que sistema operativo utilizas?

    Saludos



  • Hola Jafocu! no se si te habías dado cuenta pero escribi que ya había posteado el mismo problema en el foro de monowall y que esto no era un foro de ese programa, pero que lo hacía porque el PFSense parte de lo mismo. En cualquier caso te agradezco que aun así me hayas respondido.

    Pues bien, he abierto todos los puertos creado una regla en WAN y con las opciones Source y Destination en any. Ahora si puedo hacer un ping desde el PC (192.168.1.20) al monowall (192.168.1.23), incluso puedo gestionarlo (cosa que antes no y ahora me alegro mucho). El problema está ahora en lo siguiente y es que aun no puedo acceder al portatil.

    Cuando hago ping desde el pc (192.168.1.20) a la red LAN del monowall (192.168.2.100) no me llega, ni tampoco a los equipos que están conectados a esta red (el portatil por ejemplo).

    El ping desde el PC responde:
    Respuesta desde 192.168.153.1: Red de destino inaccesible (esta ip no se que será exactamente pero es de algo del Zyxel)

    Yo creo que es porque están en diferentes redes y de alguna manera en el monowall le tengo que decir que desde la red 192.168.((1)).xxx se pueda acceder a la 192.168.((2)).xxx pero no se como.

    Ambos sistemas operativos, portatil y pc, son windows xp. Los datos del portatil según ipconfig son:

    IP Address . . . . . . . . . . . : 192.168.2.250
    Subnet Mask . . . . . . . . . . : 255.255.255.0
    Default Gateway . . .  . . . . : 192.168.2.100
    DHCP Server . . . . . . . . . . : 192.168.2.100
    DNS Servers . . . . . . . . . . : 192.168.2.100

    ¿Alguna sugerencia?



  • Hola!

    No acabe de leer todo, je,je. lo siento.

    En mi opinión lo que expones es una configuración atípica de cualquier firewall, porque establecer conexiones desde la wan a la lan sin seguridad no tiene sentido. Si tiene sentido si lo que quieres es utilizarlo como router*, entonces tienes que establecer rutas en pfsense y en las maquinas que tengas en la red del Zyxel.

    *Para utilizarlo como router (RouteOS) funciona bien (también tiene reglas - Menor consumo de memoria).

    Saludos



  • Que tal Jafocu!

    Ya he pensado en el RouteOS pero el problema es que es de pago. Además no se como instalarlo en una Compact Flash conectada mediante USB al adaptador. Se que está el cd para grabar en una Compact Flash pero el problema es que no reconoce el usb cuando arranco el ordenador.

    Básicamente lo que quiero es hacer un punto de acceso wifi, donde se conecten unas veinte personas y que puedan navegar, pero quiero el firewall para caparles el p2p ya que si no me saturan el equipo.

    Sería esquematizado de la siguiente manera:  Internet –--> Router ADLS Zyxel -----> "PFSense, monowall o similar" ---> Usuarios.

    ¿Me podrías poner un ejemplo de como hacer esas rutas en PFSense o monowall con los datos de ip que he dado?

    Saludos.



  • Hola!

    Y porque no utilizas pfSense como tal? Puedes tener dos redes, una Lan y una WLan. Permitiendo trafico entre una y la otra ( como habias comentado en el primer post). Además puedes bloquear tráfico de WLan para evitar que los usuarios utilicen p2p, messenger, etc…

    De esta manera controlas las dos redes, y obtienes mayor seguridad.

    Como tantas veces se ha nombrado, en http://www.bellera/josep/pfsense tienes el tutorial de Josep Pujadas con el que te podrás realizar este tipo de configuración.

    Saludos



  • Eso mismo es lo que intento Jafocu. Mira, según el gráfico que ves es como está configurado ahora mismo. El portatil navega incluso y hace ping a todas las ip, pero no se porque razon no llega el pc al portatil, ni si quiera un simple ping  ;D ;D ;D

    Este es el esquema

    El ping desde el PC responde:
    Respuesta desde 192.168.153.1: Red de destino inaccesible

    Como coñ…. hago para que una red vea la otra, por mucho que sigo el tutorial de bellera, no consigo configurarlo. El problema está en los equipos que están conectados a las bocas del router.



  • Hola de nuevo!

    Lo que yo me refiero es a esto:

    Router Zyxel –---- pfSense ----- LAN
                                          ----- WLAN

    Tráfico permitido desde LAN a WLAN y viceversa.

    Lo único que necesitas es otra tarjeta de red.

    Saludos



  • Gracias Jafocu por responder tan rápido. Mira, lo tengo todo montado en una WRAP.2C por lo que no me puedo permitir el lujo de montar otra red ethernet.

    En cualquier caso debe haber alguna manera ya que el RouterOS lo permite hacer tan solo entre una tarjeta ethernet y una wifi. El problema es que es de pago.

    Yo creo que este también lo permite pero que hay algo mal configurado, ya que si permite al portatil acceder a cualquier equipo (al menos haciendo ping), debería permitir a cualquier equipo acceder al portatil.

    Me imagino que se trata de hacer quizas una ruta entre WAN y LAN.

    ¿Creo que para ello se usa el "Static Routes" o corrigeme si me equivoco?



  • Según tu esquema, debes crear una ruta en el pc hacia la red de wlan con la instrucción route.

    Ej: route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.100

    Saludos



  • Si lo de antes era responde rápido, a esto me quedo sin palabras, jajajajjaja.

    He probado dicho comando pero me da error:

    route: la dirección de puerta de enlace netmask no es válida

    En cualquier caso esto no lo podría hacer porque imagínate configurar cada equipo que se conecte a la wlan. Hay muchos a los que no puedo tener acceso.



  • Hola!

    La estación cliente que sistema operativo tiene? cada S.O tiene una manera diferente de establecer rutas

    Igualmente probaré la misma configuración que tienes para poder ayudarte.

    Saludos



  • Que tal!

    Si pudieras probar la configuración te lo agradecería. Ambos equipos tienen windows xp.

    Probando, active la opción Bridge en WAN y puedo hacer ping desde el pc (192.168.1.20) a la LAN del PFSense (192.168.2.100), pero aún no llego al portatil (192.168.2.250).

    Eso si, ahora cuando hago ping ya no me da el error "Respuesta desde 192.168.153.1: Red de destino inaccesible", simplemente me dice "Tiempo de espera agotado para esta solicitud".

    En cuanto a comando route, mejor no aplicarlo por lo que te expliqué, no puedo configurar los equipos remotos (en el caso del portatil si porque está de prueba, pero una vez instalado en su ubicación, no podré)

    LO NUEVO:

    Resulta ahora que activando la opción "Automatic outbound NAT rule generation (IPsec passthrough)" en NAT Outbound, el portatil en vez de coger la ip por DHCP de la red LAN (rangos 192.168.2.240 al 192.168.2.250), la pilla del Router ADSL (que tiene el rango xxx.xxx.1.xxx en vez de xxx.xxx.2.xxx).

    Así si veo los equipos al completo pero también me doy cuenta (o eso creo) que no puedo controlar nada de trafico, sino que lo hará el Router ADSL, cosa que no quiero. Por tanto el problema está en el NAT del PFSense creo yo.

    ¿ALGUNA SUGERENCIA A ESTE ROYO? venga Jafocu, no te desanimes, jejejeje

    Saludos y gracias por tu interés, y al de todos claro.



  • ¡Hola!

    ¿Cómo tienes Block private networks?

    http://www.bellera.cat/josep/pfsense/imatges/interfaces_WAN_3.gif

    Saludos,

    Josep Pujadas



  • Hola Bellera!

    En primer lugar gracias por ayudarme ya que esto me tiene bastante mareado. Te comento, durante la tarde de hoy haré pruebas con el equipo porque ahora mismo no lo tengo en mis manos, aunque te quisiera preguntar ¿Que podría pasar si tengo activada dicha opción que me comentas o que pasaría si no la tengo activada?

    Saludos Bellera.



  • Sí, yo de nuevo por aquí, jejejeej.

    Te comento Bellera, la opción "Block private networks" está desactivada.

    Si desactivo el DHCP del router si me da una IP el DHCP Server del PFSense, pero si no, me la da el Router Zyxel.

    Saludos.



  • ¡Hola!

    Que podría pasar si tengo activada dicha opción que me comentas o que pasaría si no la tengo activada?

    Pues lo que dice el configurador. Si está activada, bloqueas por defecto cualquier tráfico para rangos de redes privadas, http://es.wikipedia.org/wiki/Dirección_IP_privada

    Si no lo está, lo contrario. Prueba a desbloquear …

    Si desactivo el DHCP del router si me da una IP el DHCP Server del PFSense, pero si no, me la da el Router Zyxel.

    Mejor un solo DHCP en tu instalación o en todo caso reglas que filtren el DHCP (UDP 67 para el servidor y UDP 68 para el cliente). DHCP hace broadcast a 255.255.255.255 y normalmente atraviesa los cortafuegos, a menos que se bloquee específicamente. De ahí que sea un lío tener varios DHCP activados, http://es.wikipedia.org/wiki/Dhcp y http://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#DHCP_and_firewalls

    Saludos,

    Josep Pujadas



  • Hola Sulivan!

    He probado la configuración que deseas y es posible.

    La única cosa es que tendrás que establecer rutas en los pc's que tengas conectados directamente en tu Zyxel ( se puede llegar a automatizar ).

    En Linux, FreeBSD…., es con el comando route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.1.100
    En Windows es con el mismo comando route add 192.168.2.0 mask 255.255.255.0 192.168.1.100

    Para hacer persistentes las rutas tienes que colocar -p delante de route (windows).

    Si tienes las reglas de WLan\Wan correctamente permitiendo trafico, te tiene que funcionar.

    Si quieres acceder a los pc's de la WLAN via Netbios tendrás que configurar bien los dns.

    Saludos



  • Que tal!

    Bellera en cuanto a tu post probaré a cambiar los parámetros, aunque lo ideal para mi serían 2 dhcp. Pruebo y te comento.

    Respecto a Jafoco, como te comenté anteriormente me es imposible acceder a los equipos remotos ya que es un complejo hotelero y cada dos por tres se conecta gente diferente.

    Saldos.



  • Hola,

    es un complejo hotelero y cada dos por tres se conecta gente diferente

    Se conectan por la WLAN o por la LAN?

    Que modelo de router zyxel es? tiene posibilidad de crear rutas?

    Saludos



  • Buenas!

    Te comento, el sistema, las ip y la configuración es el siguiente:

    1.- Un Router Zyxel 660HW con IP: 192.168.1.1, DHCP Desactivado, NAT (SUA Only en modo multipuesto).

    2.- Una PCEngine con 1 boca ethernet y 1 boca wlan:
      2.1.- Ethernet (WAN) con IP: 192.168.1.100
      2.2.- Wireless (LAN) con IP: 192.168.2.100 y sirviendo DHCP con rangos 192.168.1.200 hasta 192.168.2.250
      2.3.- Bridge entre WAN y LAN para que ambas redes se puedan conectar
      2.4.- NAT puesto en "Manual Outbound NAT rule generation (Advance Outbound NAT (AON))" y sin reglas
      2.5.- RULES tanto LAN como WAN todo en asterisco para que pueda pasar todo
      2.6.- En Advance Setup activado "Enable filtering bridge"
      2.7.- Tanto en WAN como en LAN tienen desactivado FTP Helper

    3.- Un PC de mesa con IP: 192.168.1.2 conectado directamente a una boca del Zyxel.

    4.- Finalidad: Repartir ADSL desde un router Zyxel de telefónica a varios clientes que se pueden conectar con Wifi, aproximadamente veinte o treinta. Además tienen que poder navegar con cualquier protocolo y puerto (sobre todo web y msn).

    5.- Lo que hay: con la configuración que tengo expuesta aquí he conseguido lo siguiente:

    5.1.- El PC de mesa accede a los clientes wifi, aunque no es una cosa que me importe mucho ya que no tengo que acceder a los clientes (he visto que cambiando las reglas en WAN puedo bloquear esto, lógico ya que me imagino que el que controla el acceso desde las direcciones xxx.xxx.1.xxx hasta las xxx.xxx.2.xxx).
      5.2.- Los clientes conectan a la red LAN mediante wifi y el DHCP de esta les asigna una ip, además de poder navegar (tuve que desactivar el DHCP del router).
      5.3.- He probado con exito el funcionamiento del firewall ya que si en las reglas de LAN creo por ejemplo que se bloquee el puerto 80 (HTTP), no se puede navegar.

    6.- El problema, control de ancho de banda:
      6.1.- Permitir que el emule conecte con ID Alta, ya que apesar que en el router tengo las reglas en atesterisco para que pase todo el tráfico (según el log no está bloqueando nada), el emule no conecta con ID Alta. No se exactamente si hay que redireccionar algo en el Zyxel.
      6.2.- Controlar tanto el ancho de banda que ocupan en el emule como el número de conexiones.

    Recuerden que en ningún momento puedo cambiar la configuración de los clientes ya que no puedo acceder a sus equipos.

    Saludos y graciassssssssssss.



  • Hola!

    En esta página puedes ver como redireccionar los puertos en el Zyxel para poder tener una Id Alta en eMule (ojo con la seguridad, con esto pierdes control sobre un posible ataque sobre los puertos utilizados por el eMule ):

    http://www.adslayuda.com/Zyxel650-gestion_de_puertos.html

    Con traffic Shaping puedes controlar el ancho de  banda para las comunicaciones p2p y compañía.

    Cuando te comente había realizado la misma instalación que tienes lo hice sin necesidad de hacer Bridge entre la LAN y la WAN. ( depende de  cada uno)

    Saludos



  • Hola!

    He probado lo siguente con el Zyxel. Cree en el NAT los siguientes puertos con las siguientes ips:

    4994 -> 192.168.1.100 (WAN)
      4995 -> 192.168.1.200 (LAN)
      4996 -> 192.168.2.250 (Portatil que es que no pilla ID Alta)

    Luego configuré el emule con el primer puerto y nada, con el segundo puerto y nada y con el tercer puerto y tampoco.

    ?¿ Alguna idea

    Saludos.



  • Hola Sulivan!!

    El Nat en el router zyxel tendría que ser de esta manera (depende de la configuración del eMule, puerto UDP y TCP:

    - TCP 4662 y UDP 4672 –> Ip del Portátil

    Ejemplo router Zyxel:

    Start Port No          End Port No      Ip Adress
          4662                      4662          Ip Portátil
          4672                      4672          Ip Portátil

    En el router Zyxel 660HW solo tienes que colocar el puerto externo e interno ( no puedes especificar TCP / UDP ).

    Probaré este tipo de instalación que tienes, utilizando bridge ( la cual no he utilizado nunca ).

    Nota: Si el portátil lo tienes conectado en el Zyxel si que tendrás una ID alta (prueba realizada).
            Ip Portátil debe ser siempre la misma.

    Más Información en http://www.adslayuda.com/Zyxel650-gestion_de_puertos.html



  • Hola!

    Como bien dices, si conecto el portatil al Zyxel va perfecto.

    Te envio la configuración:

    http://rapidshare.com/files/102756856/Prueba.xml.html

    Saludos.



  • Hola de nuevo!!

    Como te dije antes abre los puertos del router Zyxel a la ip del portatil ( cosa que has realizado ) y luego en el pfSense te vas al menu Firewall > Nat  pestaña Port Forward e introduces la siguiente configuración:

    Wan – Tcp -- 4662  -- Ip Portatil -- 4662
    Wan -- Udp --4672 -- Ip Portatil -- 4672

    Y con las reglas oportunas para que circule el tràfico, seguro que te tiene que funcionar ( está comprobado )

    Saludos



  • JAFOCU ES UN CRACK,  ;D

    Perfecto, ya me funciona todo aunque el unico problema ahora es que el Zyxel solo deja redireccionar en el Nat 12 ips que dividida entre dos puertos sería 6. Eso solo el emule, si hablamos de otros como el bittorrent ya no te cuento.

    ¿Hay alguna manera de dejarlo pasar todo y yo controlar el tráfico y demás mediante el pfsense?

    Saludos.



  • Hola!!

    je,je, para eso estamos.

    Varias mentes mejor que una.

    En el Zyxel la primera casilla donde te pone All ports –- All Ports --- Ip Wan del pfSense

    Un Saludo



  • Hola!

    Dicha casilla no me vale ya que solo es para una ip.

    ¿Otra solución?
    ¿Como decias que haces este tipo de instalación sin bridge?

    Lo del bridge te lo digo porque configurando el Traffic Shaping dice que no funciona en modo bridge.

    He probado lo siguiente y es desactivar el bridge que tenía la LAN, en Nat Outbound he creado una regla que dice:

    Interface: WAN
    Source: 192.168.2.0/24
    Source Port, Destination, Destination Port, NAT Address, NAT Port: * "asterisco".
    Static Port: NO

    La configuración es: http://rapidshare.com/files/103123805/Sin_Bridge.xml.html

    En principio con esta regla puedo navegar sin usar el bridge pero el emule sigue en LOW ID. Probando también con Automatic Outbound me hace lo mismo.

    Saludos.



  • Hola!

    Que servicios quieres dar? ( p2p si que necesitas abrir puertos externos para poder tener Id Alta ) Unifica cierto tráfico que necesites hacia el pfSense y lo controlas con traffic shaping.

    Con las reglas puedes tambien bloquear rangos de ip's.

    Bridge no utilizo porque no he realizado ninguna instalación que me haya quedado sin rango de ip's.

    Si lo haces, es para que los usuarios cuando se conecten no se vean entre si o para tener mayor seguridad….(WireShark, Cain & compañia te lo harian difícil).

    Lo que no se si con pfSense puedes bloquear tráfico entre redes conectadas a el. (hay que mirarlo).

    Saludos



  • Estaba modificando el último mensaje y posteastes luego. Miralo si no te importa.

    Me preguntabas que puertos quiero dejar pasar, pues en principio todos para luego controlarlos en el pfsense.

    Saludos.



  • YA

    La mejor solución que he encontrado es activar el modo bridge en el router zyxel para que haga de puente directo hacia el punto de acceso pfsense y deje pasar todo. Una vez hecho esto, configuro el pfsense en modo ppoe y el resto como cualquier otro router.

    Estoy haciendo pruebas con el Traffic Shaping y la verdad es que es muy bueno. He probado a limitar una descarga a 10Kb de bajadada y todo perfecto, aunque tengo una duda y solo un portatil (cliente de prueba), ejejejjeje.

    La duda es la siguiente, he creado un alias llamado Clientes con 3 ips que son 192.168.2.240/1/2 y configuré el portatil con la ip 192.168.2.240. Luego con el Traffic Shaping limité el ancho de banda donde pone "Penalize IP or Alias" y la configuré con los parametros de subida a 40kbits(5kb) y de bajada a 80kbits(10kb).

    Hasta aquí todo bien, pero ahora biene lo importante:
      - ¿Ese ancho de banda de 10kb es para las 3 ips o es para cada ip?

    Es que como tengo un solo portatil no puedo hacer pruebas.

    Saludos.


Log in to reply