¿Qué tengo en el Firewall que me peta todo?

cbd

Y otra más para la lista, pero esta es curiosa.
Teniendo el Firewall activado, el cliente de mi LAN no puede navegar, pero si puede hacer ping a las IP que quiera.
Cuando se trata de poner una URL no la resuelve (DNS) y cuando pongo la misma IP que me hace ping en el terminal, en le navegador, tampoco funciona.
Bien, todo esto, tenido el firewall así
WAN

LAN

PuertosBasicos es un alias de los puertos 443,80,22 PFSense_LAN es la IP de la interfaz LAN y PFSense_WAN la de la WAN

he mezclado 20 mil reglas y tutoriales para intentar solucionarlo, como este: http://mjesussuarez.blogspot.com.es/2014/02/firewall-de-pfsense-reglas-de-filtro-13.html (sus tres partes, obviando el DMZ) pero no hay manera.

Lo más curioso de todo es que ese firewall impide que el propio PFSense resuelva DNS, y no puede acceder a la lista de paquetes disponibles (tampoco responde al DNS lookup, probado con 8.8.8.8 y 8.8.4.4).

Si voy a "Advanced/Nat Firewall" y deshabilito el filtrado de paquetes por el Firewall, de nuevo PFSense consigue resolver DNS (nada de que puedan hacerlo los clientes de la LAN, pero bueno…)

Con la configuración de las fotos, que se supone que hace posible que naveguen los clientes, no hago ni ping a la interfaz LAN desde un cliente conectado directamente a ella, pero si puedo acceder al WebGUI que está en esa misma IP de la LAN a través de un puerto especifico, no entiendo nada.
Tengo todos los servicios parados, pero aun así no funciona...

No paro de tocar y tocar y de dejarme 10 horas diarias y solo me salen problemas.

periko

Recomendacion 1.

Si ya estas hecho volas y estas probando todo, pones todo de fabrica y arrancas de nuevo.

Observaciones.

Antes de meter equipos a trabajar, ya configurado el sistema, dnscache el que gustes, confirmas que pfsense pueda hacer consultas a los dns externos, el lo primero que tienes  que confirmar antes de dar acceso.
Si esto funciona ahora si los clientes, si el entrega las IP via dhcp, el es el gw+dns para tus clientes al menos que tu dns lo maneje otro sistema en tu red.

No pongas reglas, dejas las de fabrica ya que esa te permite salir a donde gustes, 1ro aprende como funcionan las reglas luego te haces pelotas, por que?

Tienes una regla que permite ir a los equipos de tu LAN a los puertos basicos: 80/443 etc, pero solo pueden tocar el ip que tiene el equipo llamado Pfsense_LAN, o sea en realidad nunca salen de tu red, saludos.

cbd

@periko:

Recomendacion 1.

Si ya estas hecho volas y estas probando todo, pones todo de fabrica y arrancas de nuevo.

Observaciones.

Antes de meter equipos a trabajar, ya configurado el sistema, dnscache el que gustes, confirmas que pfsense pueda hacer consultas a los dns externos, el lo primero que tienes  que confirmar antes de dar acceso.
Si esto funciona ahora si los clientes, si el entrega las IP via dhcp, el es el gw+dns para tus clientes al menos que tu dns lo maneje otro sistema en tu red.

No pongas reglas, dejas las de fabrica ya que esa te permite salir a donde gustes, 1ro aprende como funcionan las reglas luego te haces pelotas, por que?

Tienes una regla que permite ir a los equipos de tu LAN a los puertos basicos: 80/443 etc, pero solo pueden tocar el ip que tiene el equipo llamado Pfsense_LAN, o sea en realidad nunca salen de tu red, saludos.

Lo curioso es que lo resetee de fabrica, configuré muy poco y volvió a lo mismo.
Puff es que es mucho trabajo metido, están hechas las configuraciones de un montón de cosas, pero claro, si no me funciona es tontería.
Lo de las reglas, si que tengo mucho lío, pero esas en concreto son las que dice el tutorial, de ahí que no entendiera nada.
Probaré hoy a resetear a ver.
Gracias

ptt

@cbd:

Lo curioso es que lo resetee de fabrica, configuré muy poco y volvió a lo mismo.

Lo de las reglas, si que tengo mucho lío, pero esas en concreto son las que dice el tutorial, de ahí que no entendiera nada.

Con "esas" reglas en LAN, NO "sales" a internet… (solo permites el acceso a la LAN)

De que "tutorial" estas hablando ???

Revisa/lee acerca del tema, en la Documentación Oficial:

https://doc.pfsense.org/index.php/Firewall_Rule_Basics

https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order

https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting

https://doc.pfsense.org/index.php/Example_basic_configuration

cbd

@ptt:

@cbd:

Lo curioso es que lo resetee de fabrica, configuré muy poco y volvió a lo mismo.

Lo de las reglas, si que tengo mucho lío, pero esas en concreto son las que dice el tutorial, de ahí que no entendiera nada.

Con "esas" reglas en LAN, NO "sales" a internet… (solo permites el acceso a la LAN)

De que "tutorial" estas hablando ???

Revisa/lee acerca del tema, en la Documentación Oficial:

https://doc.pfsense.org/index.php/Firewall_Rule_Basics

https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order

https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting

https://doc.pfsense.org/index.php/Example_basic_configuration

Gracias!
El tutorial ultimo que seguí está en un enlace en el primer post.
Pero me pasa que estoy flipando ya.

He resetado PFSense (opción 4 desde linea de comandos) y sin tocar nada más que la IP de la WAN (tiene una del mismo rango que el router al que está conectado la WAN) y la IP de la LAN (a la que accedo perfectamente) ya no resuelve DNS la maquina, puedo hacer ping a cualquier IP publica desde la LAN o desde el PFSense pero no resuelve nombres, no entiendo nada de nada.

El router tiene abiertos los puertos 53 para la IP de la WAN de PFSense, la WAN tiene como getway la IP del router.
He probado a que la WAN sea por DHCP y le da igual.

ptt

Por Favor, adjunta un Diagrama/Esquema "detallado" (incluyendo IP's) de tu red, y capturas de pantalla del "dashboard"  y de las Reglas de FW (como las tienes actualmente) del pfSense.

periko

Y agrega que mas equipos hay antes del pfsense, ya que mencionas router con el puerto abierto  :-\…me dio miedo... :o

cbd

@ptt:

Por Favor, adjunta un Diagrama/Esquema "detallado" (incluyendo IP's) de tu red, y capturas de pantalla del "dashboard"  y de las Reglas de FW (como las tienes actualmente) del pfSense.

No tengo reglas, literalmente no tengo, esta tal cual con valores de fabrica (las reglas automáticas que pone son las únicas que hay)

Aquí está, he intentado poner los máximos detalles que se me ocurrían.

@periko:

Y agrega que mas equipos hay antes del pfsense, ya que mencionas router con el puerto abierto  :-\…me dio miedo... :o

Bueno, en el router ya he ido a lo burro y he puesto el DMZ, así que problemas de puertos no es.Fi
Y como curiosidad, el cliente tiene Wi-Fi, si me conecto al Router directamente con Wi-Fi no puedo acceder al WebGUI de la LAN (192.168.2.1), si conecto el cable ethernet pero sigo conectado por Wi-Fi sí puedo (además cuando navego por Wi-Fi y tengo el cable conectado, va Internet mucho más lento).

ptt

Que tienes en "System –> Routing" (pestaña Gateways) ?  (adjunta capturas de pantalla).

Tienes Habilitado el "DNS Resolver" o el "DNS Forwarder" ? (Services)

Respecto a las Pruebas que estás Realizando, NO/Nunca lo hagas con 2 interfaces/conexiones activas (WiFi / Ethernet).

La pruebas las Realizas conectándote únicamente a la LAN del pfSense.

Desde la WAN del pfSense es "normal" que no responda a los "PING" a un "host" de la LAN

El acceso al "webconfigurator" (Menú web del pfSense) desde el "Lado WAN" está Bloqueado por Default.

Para que un Host de la LAN del pfSense tenga salida/acceso a internet, No necesitas "abrir puertos / DMZ" en el Router que tienes "antes" que el pfSense.

cbd

@ptt:

Que tienes en "System –> Routing" (pestaña Gateways) ?  (adjunta capturas de pantalla).

Tienes Habilitado el "DNS Resolver" o el "DNS Forwarder" ? (Services)

Respecto a las Pruebas que estás Realizando, NO/Nunca lo hagas con 2 interfaces/conexiones activas (WiFi / Ethernet).

La pruebas las Realizas conectándote únicamente a la LAN del pfSense.

Desde la WAN del pfSense es "normal" que no responda a los "PING" a un "host" de la LAN

El acceso al "webconfigurator" (Menú web del pfSense) desde el "Lado WAN" está Bloqueado por Default.

Para que un Host de la LAN del pfSense tenga salida/acceso a internet, No necesitas "abrir puertos / DMZ" en el Router que tienes "antes" que el pfSense.

He quitado la Wi-Fi pero responde exactamente igual.

Tengo activado el por defecto, que es el Resolver, ya digo que está todo reseteado.
Respecto a lo de los puertos, es que ya no sabia qué probar.

cbd

No sé ya lo que hacer, esta tarde lo he actualizado a la 2.3 y a raíz de ahí ahora si que resuelve DNS y se conecta el pfSense, además, puedo hacer ping desde el cliente de la lan hacia cualquier url, y la resuelve y llegan los paquetes pero sigo sin poder navegar y no comprendo el porqué.
He vuelto a restaurar el pfsense e incluso el router, pero nada de nada.

Por favor, a ver si me podéis ayudar!!!