Problema trafico de salida en PfSense 2.2.6
-
Muy buenas.
Tenemos un PfSense que nos hace de proxy transparente cache, y aun ni siquiera hemos empezado a bloquear nada (hay intencion de usar alguna lista de shallalist o similar, peor aun no esta hecho
Recientemente hemos empezado a tener problemas de envio con Outlook, y despues de mucho rompernos la cabeza, hemos visto que no solo es outlook, si no casi todo el trafico "saliente"Tenemos dos interfaces WAN (DHCP connectado a router Fibra Optica dentro del rango 192.168.2.0/24) y la LAN (IP FIJA 192.168.1.101)
Algunas capturas:
Dashboard
Gateways definidas :
Reglas del firewall :
Y el que creo que es "el turron" …..logs donde se ven cientos de bloqueos por el siguiente motivo : block drop in log inet all label "Default deny rule IPv4"
La cuestion es que si deshabilito el firewall mediante shell (pfctl -d) todo funciona perfectamente, enviamos correo y podemos hacer pruebas de velocidad en cualquiera de las webs , que nos da una velocidad de bajada de 100Mb y de 10Mb de subida), o sea todo correcto
En el momento que hacemos un pfctl -e (habilitamos de nuevo firewall), outlook deja de funcionar , y en las webs de pruebas tan solo podemos hacer el test de bajada , que nos da 100Mb correctamente, pero el de subida nos da un error de timeout.
Podeis ayudarnos ??
P.D.: Sorry si no he hecho presentacion, pero estamos en un aprieto y llevo muy poquito con PFSense
-
Por qué / para qué el GW en la LAN ???
https://doc.pfsense.org/index.php/Connectivity_Troubleshooting#LAN_Interface
-
@ptt:
Por qué / para qué el GW en la LAN ???
https://doc.pfsense.org/index.php/Connectivity_Troubleshooting#LAN_Interface
Porque si quitamos el GW de la LAN la velocidad de descarga nos disminuye a 30Mb en lugar de 100Mb….. :-[ :-[
Como digo soy totalmente novato en PFSense, y puede que por ahí venga el problema, pero fué poner el GW en la LAN y voila, la velocidad de la conexion fué de 100Mb de golpe.
-
Las interfaces "tipo LAN" NO "llevan" GW (revisa el link a la documentación oficial que dejé en el post anterior).
Estás corriendo pfSense "virtualizado" ?
Adjunta un Diagrama/Esquema de la Red
-
@ptt:
Por qué / para qué el GW en la LAN ???
https://doc.pfsense.org/index.php/Connectivity_Troubleshooting#LAN_Interface
Por probar he quitado el GW 192.168.1.1 y he visto dos cosas :
1 - He recuperado la "subida" y ahoira puedo hacer el test de velocidad y vuelvo a enviar mails
2 - la velocidad de conexion, como te decia antes, ha bajado de nuevo a 30Mb en lugar de 100Mb de nuestra fibra y que poniendo el GW de 192.168.1.1 recuperamosadjunto captura de velocidad quitando el GW de LAN
Insisto, si pongo el GW de LAN este mismo test nos da la velocidad completa de la Fibra (100Mb) , pero da un error cuando intenta hacer el test de subida, así como que dejamos de poder enviar correos.
-
@ptt:
Las interfaces "tipo LAN" NO "llevan" GW (revisa el link a la documentación oficial que dejé en el post anterior).
Estás corriendo pfSense "virtualizado" ?
Adjunta un Diagrama/Esquema de la Red
Si, está dentro de un ESXI 5.1 (192.168.1.5), que a su vez ejecuta un Win 2008 server haciendo de DC (192.168.1.210)
No se que herramienta usar para haceros un diagrama de la red :'( :'( :'(
-
Hola.
Si tienes 2 gateways, debes de segmentar la red y que los 2 gateways sean accesibles solo desde la interfaz WAN:
red local - siwtch A – interfaz lan pfsense -PFsense --- interfaz wan1 pfsense --cable directo- Gateway1
|---- interfaz wan2 pfsense - cabel directo-- Gateway2Debes de configurar multiwan en System > routing > Groups (creas uno) .. y luego en las reglas del tráfico lan a Inet usas como gateway ese grupo multiwan creado
doc multiwan: https://doc.pfsense.org/index.php/Multi-WAN
Salu2
–-añadido ---
Lo ideal para tu caso seria que tu pfSense tuviera 3 nics (1 para la lan, 2 para las wan), ----
pero para una sola interfaz wan en tu pfsense: seria la topología:
red local - siwtch A -- interfaz lan pfsense -PFsense --- interfaz wan pfsense --siwtch B- Gateway1
--switch B-- Gateway2 -
Hola.
Si tienes 2 gateways, debes de segmentar la red y que los 2 gateways sean accesibles solo desde la interfaz WAN:
red local - siwtch A – interfaz lan pfsense -PFsense --- interfaz wan1 pfsense --cable directo- Gateway1
|---- interfaz wan2 pfsense - cabel directo-- Gateway2Debes de configurar multiwan en System > routing > Groups (creas uno) .. y luego en las reglas del tráfico lan a Inet usas como gateway ese grupo multiwan creado
doc multiwan: https://doc.pfsense.org/index.php/Multi-WAN
Salu2
–-añadido ---
Lo ideal para tu caso seria que tu pfSense tuviera 3 nics (1 para la lan, 2 para las wan), ----
pero para una sola interfaz wan en tu pfsense: seria la topología:
red local - siwtch A -- interfaz lan pfsense -PFsense --- interfaz wan pfsense --siwtch B- Gateway1
--switch B-- Gateway2OSt***…..te lo agardezco, pero.......no he entendido un pimiento.....como hago todo eso ??
Y a parte....El hecho de tener dos gateway fué porque en medio de un ensayo y error vimos que haciendo eso la bajada en los test de velocidad de la fibra optica era completa , eso es, los 100Mb......no porque nosotros lo necesitamos, que de eso ni idea, no sabemos si lo necesitamos o no.
Tenemos en la empresa un ESXi que hasta ahora era el DC y un ZENTYAL....de repente hacve unos meses ZENTYAL deja de ofrecer el servicio proxy de filtrado de WEBS y de chache y nos recomendaron PFSense, pero nunca lo habia tocado hasta ese momento.
Y ahí estamos.....
-
Añado estructura que he sacado del ESXi
-
Hola.
Mira, para este escenario multiwan
Un procedimiento que he hecho para pfSense 2.2.6 amd64 como
-Firewall
– Proxy caché (squid3)
– Filtro de contenidos (squidGuard)
– Antivirus para tráfico http (clamAV, incluido en paquete squid3)
– Gestión de tráfico: histórico de consumo de ancho de banda por usuario (IP) (Sarg)
– Balanceo de carga
– Servidor DHCP con WDAP y servidor DNS para la red localEn https://www.javcasta.com/procedimiento-pfsense-2-2-6-amd64-con-squid-en-entorno-multiwan/
(Lo de Multiwan y balanceo de carga se configura al final)
Salu2
-
Si entendí esta frase:
"Tenemos dos interfaces WAN (DHCP connectado a router Fibra Optica dentro del rango 192.168.2.0/24) y la LAN (IP FIJA 192.168.1.101)"
¿Significa que consideras tu interfaz LAN como una de tus dos WAN?.
De ser así sólo corrige la topología de tu red y el problema de velocidad se resolverá solo.
En tu anfitrión deberás configurar dos interfaces físicas (WAN y WAN2) y una interfaz LAN puenteada a tus máquinas virtuales huéspedes.
Saludos.
-
Hola.
Sí, para 2 interfaces wan en el pfsense la topología:
red local - siwtch A – interfaz lan pfsense -PFsense --- interfaz wan1 pfsense --cable directo- Gateway1
|---- interfaz wan2 pfsense - cable directo-- Gateway2Para una sola interfaz wan en el pfsense la topología:
red local - siwtch A -- interfaz lan pfsense -PFsense --- interfaz wan pfsense --siwtch B- Gateway1
--switch B-- Gateway2
Y pondría direccionamiento estático en la wan de pfsense:wan ipv4: 192.168.4.2/23
máscara 255.255.254.0ip red 192.168.4.0
ip broadcast 192.168.5.255
1º ip utilizable 192.168.4.1
última ip utilizable 192.168.5.254definiria los 2 gateways en el pfSense
( GW1 con ip 192.168.4.1/24, GW2 con ip 192.168.5.1/24)
gw1 192.168.4.1
gw2 192.168.5.1Crearia un grupo de gateways en system > routing > groups, llamado balanceo1 (com mismo tier tier1 y disparador de evento perdidas de paquetes y alta latencia)
(En System: Advanced: Miscellaneous > marcaria: Load Balancing Enable default gateway switching)
Definiria como gateway balanceo1 en las reglas que lo precisen del firewall en lan
Y en la LAN
interfaz lan del pfsense : 192.168.1.101/24
para clientes lan:
ip (o por dhcp del pfsense o fijas en la red 192.168.1.0/24)
gateway 192.168.1.101
dns 192.168.1.101Salu2
-
Si entendí esta frase:
"Tenemos dos interfaces WAN (DHCP connectado a router Fibra Optica dentro del rango 192.168.2.0/24) y la LAN (IP FIJA 192.168.1.101)"
¿Significa que consideras tu interfaz LAN como una de tus dos WAN?.
De ser así sólo corrige la topología de tu red y el problema de velocidad se resolverá solo.
En tu anfitrión deberás configurar dos interfaces físicas (WAN y WAN2) y una interfaz LAN puenteada a tus máquinas virtuales huéspedes.
Saludos.
Culpa mia, está mal escrita esa frase y es cierto que condu8ce a error.
La escribo de nuevo, pues creo que lo que estais diciendo no es lo que yo necesito, porque NO TENEMOS DOS WAN
Frase escrita de nuevo:
**"Tenemos dos interfaces .
Una WAN configurada con DHCP connectado a router MIKROTIK (este se encarga de asignar una IP dentro del rango 192.168.2.0/24)
y la otra a la que llamamos LAN configurada con IP FIJA 192.168.1.101)"Nuestro DC (192.168.1.210) es el que hace de DHCP server y asigna a todos los equipos del dominio el gateway 192.168.1.101 para que todos los equipos salgan a traves del PFSsense que está marcada la opcion de proxy transparente.
Lo que le pedimos al PFSense es que actua de proxy cache, y filtro de contenidos.
No queremos balanceo de carga, pues solo tenemos un router fibra optica (100Mb/10Mb)EL problema como explicaba antes es que si quito el GW de la interface LAN dep PFSense la velocidad disminuye a 30Mbs/10Mbs, mientras que si creo un GW nuevo en PFsense (192.168.1.1 IP del ROuter MIKROTIK) la velocidad se convierte en 100Mb/0Mbs …..es decir, bakamos a la velocidad real de nuestra fibra optica, pero perdemos la capacidad de subida, y en consecuencia dejan de funcionar sercivios como el envio de correos o la conexion Teamviewer de equipos externos.
A ver si ahora me he explicado mejor !!
P.D.:
-192.168.1.1, 192.168.2.1 , 192.168.10.2 (Router MIKROTIK)
-192.168.10.1 Router FIbra Optica
-192.168.1.210 Windows 2008 Server DC
-192.168.1.101 (LAN PFSense IP FIJA)
-192.168.2.XX (WAN PFSense DHCP asignada por router MIKROTIK)Si me decis como habeis hecho ese diagrama lo hago para que podais seguir ayundadome, porque yo realmente voy totsalmente pez y me cuesta seguir algunas cosas que decis**
-
Para una sola interfaz wan en el pfsense la topología:
red local - siwtch A – interfaz lan pfsense -PFsense --- interfaz wan pfsense --siwtch B- Gateway1
--switch B-- Gateway2
Y pondría direccionamiento estático en la wan de pfsense:wan ipv4: 192.168.4.2/23
máscara 255.255.254.0ip red 192.168.4.0
ip broadcast 192.168.5.255
1º ip utilizable 192.168.4.1
última ip utilizable 192.168.5.254definiria los 2 gateways en el pfSense
( GW1 con ip 192.168.4.1/24, GW2 con ip 192.168.5.1/24)
gw1 192.168.4.1
gw2 192.168.5.1Crearia un grupo de gateways en system > routing > groups, llamado balanceo1 (com mismo tier tier1 y disparador de evento perdidas de paquetes y alta latencia)
(En System: Advanced: Miscellaneous > marcaria: Load Balancing Enable default gateway switching)
Definiria como gateway balanceo1 en las reglas que lo precisen del firewall en lan
Y en la LAN
interfaz lan del pfsense : 192.168.1.101/24
para clientes lan:
ip (o por dhcp del pfsense o fijas en la red 192.168.1.0/24)
gateway 192.168.1.101
dns 192.168.1.101Hola
Eso es lo que yo haria para una sola interfaz WAN en el pfSense y dos routers con salida a Inet.
Fijate que hay 2 dominios de Broadcast (2 switches (capa 2), segmentados por un dispositivo de capa 3 el router/firewall pfSense)
Intenta ubicar tus direccionamientos de red en ese esquema.
Salu2
-
Para una sola interfaz wan en el pfsense la topología:
red local - siwtch A – interfaz lan pfsense -PFsense --- interfaz wan pfsense --siwtch B- Gateway1
--switch B-- Gateway2
Y pondría direccionamiento estático en la wan de pfsense:wan ipv4: 192.168.4.2/23
máscara 255.255.254.0ip red 192.168.4.0
ip broadcast 192.168.5.255
1º ip utilizable 192.168.4.1
última ip utilizable 192.168.5.254definiria los 2 gateways en el pfSense
( GW1 con ip 192.168.4.1/24, GW2 con ip 192.168.5.1/24)
gw1 192.168.4.1
gw2 192.168.5.1Crearia un grupo de gateways en system > routing > groups, llamado balanceo1 (com mismo tier tier1 y disparador de evento perdidas de paquetes y alta latencia)
(En System: Advanced: Miscellaneous > marcaria: Load Balancing Enable default gateway switching)
Definiria como gateway balanceo1 en las reglas que lo precisen del firewall en lan
Y en la LAN
interfaz lan del pfsense : 192.168.1.101/24
para clientes lan:
ip (o por dhcp del pfsense o fijas en la red 192.168.1.0/24)
gateway 192.168.1.101
dns 192.168.1.101Hola
Eso es lo que yo haria para una sola interfaz WAN en el pfSense y dos routers con salida a Inet.
Fijate que hay 2 dominios de Broadcast (2 switches (capa 2), segmentados por un dispositivo de capa 3 el router/firewall pfSense)
Intenta ubicar tus direccionamientos de red en ese esquema.
Salu2
Vale, creo que esto se parece mas a lo que yo tengo, aunque los rangos IP son diferentes y la WAN le asigna IP el router MIKROTIK (aunque siempre es la misma porque esta puesta como reservada)
Lo que no entiendo lo de los routers y las GW.
Sería mucho pedir que lo expliques paso a paso como si hablaras con un niño de 5 años ??…. :-[ :-[ :-[
-
Hola.
Si tienes acceso a administrar tus routers, puedes ponerle el direccionamiento IP en sus interfaces lan que te convenga.
Lo que te describo es una posible solución para un pfSense con uns sola interfaz wan y dos gateways de salida a Inet (multiwan).
Al tener uns sola interfaz wan, su ip debe estar en una subred que incluya a las 2 IPs lan de los gateways (routers con salida a Inet)
GW1 192.168.4.1/24
pfsense: interfaz wan (192.168.4.2/23) –-> GW2 192.168.5.1/24Te recomiendo estos links:
http://informaticacoslada.com/subnetting-subredes-mascaras-de-red/
http://www.javcasta.com/blog/calculo-manual-de-subredes/Salu2
-
Hola.
Si tienes acceso a administrar tus routers, puedes ponerle el direccionamiento IP en sus interfaces lan que te convenga.
Lo que te describo es una posible solución para un pfSense con uns sola interfaz wan y dos gateways de salida a Inet (multiwan).
Al tener uns sola interfaz wan, su ip debe estar en una subred que incluya a las 2 IPs lan de los gateways (routers con salida a Inet)
GW1 192.168.4.1/24
pfsense: interfaz wan (192.168.4.2/23) –-> GW2 192.168.5.1/24Te recomiendo estos links:
http://informaticacoslada.com/subnetting-subredes-mascaras-de-red/
http://www.javcasta.com/blog/calculo-manual-de-subredes/Salu2
Creo que no me he explicado bien (otra vez…...)
Routers que den acceso a Internet solo hay uno, el de Fibra Optica que es el 192.168.10.1
El otro, el MIKROTIK, tiene varias IP's (desconozco porque lo hicieron así), creo que era para separar el trafico del dominio del externo.....pero ese no es que que de ningun acceso a Internet
He hecho un esquema esquema de mi red, a ver si podeis echarme una mano, porque hasta ahora intento seguirte pero no lo consigo (no cabe duda de que es mi culpa, no es que tu te expliques mal, ni nada de eso)
-
Hola.
jeje, no hay nada como un mapa para no perderse. :)
Ya lo miro y te digo más adelante (ahora estoy liado)
Salu2
-
Hola.
Confirmame si he entendido bien tu topología (ver img):
Y repasa en el menú: Interfaces: LAN y WAN, si está desmarcado: Block private networks y Block bogon networks (si estan marcadas, desmarcalas y salva, tanto en la lan como en la wan). Ya que estás trabajando con IPs privadas, tanto en el interfaz WAN como en LAN del pfSense.
Salu2
-
Hola.
Confirmame si he entendido bien tu topología (ver img):
Y repasa en el menú: Interfaces: LAN y WAN, si está desmarcado: Block private networks y Block bogon networks (si estan marcadas, desmarcalas y salva, tanto en la lan como en la wan). Ya que estás trabajando con IPs privadas, tanto en el interfaz WAN como en LAN del pfSense.
Salu2
Es casi correcto, salvo que , en tu dibujo , la 192.168.2.93 (IP WAN del PFSense) en lugar de al switch, entiendo que deberia ir directa al mikrotik (Es Este quien le asigna la IP )
El switch de 24puertos es el que interconecta el ESXi con los equipos, pero no hace nada mas (como si fuera un ladron de corriente)otro error que veo es la IP que le has puesto al PFSense, que es 192.168.1.101 en lugar de 192.168.1.10.
Por lo demas juraria que todo es correcto.
En cuanto a las opciones que dices (Block private networks y Block bogon networks) te comento que ya estan desmarcadas en ambas , y siguen así
