settingsLogin | Registersettings
Show Menu

Permitir trafico de WAN hacia la LAN Pfsense (IPs gobierno)

0 votos

Buenas noches, estoy configurando un pfsense v. 2.3.4, y tengo un problema con la recepción del trafico de la WAN hacia la LAN, explico a detalle:

Tengo un sistema SIAF del gobierno, el cual me pide un puerto especifico el 990 este puerto lo tengo abierto para el envió de información desde mi LAN y funciona sin problemas en el pfsense la regla de envió cumple, el problema viene en la recepcion de la informacion que viene de la IP publica del gobierno. 

Al momento de recepcionar la información de la IP del gobierno, es donde tengo dificultad para aceptar ese trafico entrante entre a mi LAN desde la WAN. 

Adjunto la imagen que hace el sistema SIAF de envio y recepcion.

Espero me puedan orientar donde defino aceptar ese trafico pase a la LAN.

Dejo los datos de configuración:

Servidores que transmiten: 172.16.0.4 - 172.16.0.8 - 172.16.0. 10

WAN : 192.168.1.20 /24

LAN: 172.16.0.0 /22

Puerto de transmisión: 990

IP publica de gobierno: sat5.mef.gob.pe   200.4.212.4

image 

Espero su gran apoyo.

Saludos 

Ricardo

por (6 puntos)  

1 Respuesta

+1 voto
 
Mejor respuesta

Hola  jrsprescott, en tu ejemplo dices que tu pfSense tiene en la WAN la IP 192.168.1.20, normalmente le WAN del pfSense, debe tener la IP pública que es la que va a recibir el tráfico entrante, de lo contrario, no vas a recibir el tráfico porque este nunca llegará desde Internet a la IP privada 192.168.1.20.

Veamos un para de ejemplos para aclarar lo que te digo:

Ejemplo 1, tráfico saliente desde tu LAN hacia Internet:

  • Origen: máquina con IP privada 172.16.10.10
  • Puerto de origen: TCP dinámico
  • Destino: servidor con IP pública 20.20.20.20
  • Puerto de destino: TCP 990
  • IP LAN pfSense: 172.16.10.1
  • IP WAN pfSense: 88.88.88.88

Cuando esta máquina en tu red interna, desea hacer una conexión saliente a un servidor de destino que escucha en el puerto TCP 990, esta genera un paquete con IP de origen 172.16.10.10, puerto de origen aleatorio, IP de destino 20.20.20.20, puerto de destino TCP 990.

Este paquete se lo envía a la dirección IP del Gateway de la LAN (172.16.10.1), el pfSense le cambia la IP de origen al paquete y le pone como IP de origen su dirección IP pública (88.88.88.88) para que el servidor pueda responder a la solicitud correctamente.

El pfSense, automáticamente abre el puerto en la IP pública solamente para el tráfico de respuesta que venga desde el servidor y desde los puertos de origen y destinos correspondientes.

Cuando se termina la conexión, este puerto se cierra.

Ejemplo1, tráfico entrante desde Internet hacia la LAN:

  • Servidor que origina la conexión: 20.20.20.20
  • Puerto de origen del servidor que origina la conexión: dinámico
  • IP LAN pfSense: 172.16.10.1
  • IP WAN pfSense: 88.88.88.88
  • Máquina de la red interna: 172.16.10.10
  • Puerto de destino de máquina de la red interna: 990

Cuando un servidor/máquina externa, desea iniciar una conexión hacia tu dirección IP pública, esta genera un paquete con IP de origen 20.20.20.20, puerto de origen aleatorio, IP de destino 88.88.88.88, puerto de destino TCP 990.

Este paquete llega a la IP pública del pfSense, debes crear una regla de publicación indicando que el tráfico que llegue a la IP pública de la WAN, al puerto TCP 990, se redireccione a la IP privada 172.16.10.10 al puerto TCP 990.

De esta manera el tráfico llegará a la máquina que está en la LAN.

Ahora veamos entonces cómo crear la regla de publicación del puerto:

Para crear esta regla, debes ir a Firewall / NAT / Port forward

image

Crea una nueva regla con los siguientes parámetros:

image 

Al final de la regla, selecciona que se cree automáticamente una regla de filtrado.

image

A partir de este momento, el tráfico entrante al puerto TCP 990 será enviado a la IP de la máquina de la LAN.

Espero te sea útil.

por (3.5k puntos)  
seleccionada por
Hice ese cambio amigo víctor, y se crearon las reglas; pero mi duda es como asigno la IP publica a la interface WAN del pfsense, que esta configurado por DHCP y esa IP es la que me asigna el router 192.168.1.20; mi Ip Publica es 190.117.213.xxx
Se tiene que configurar el router de alguna forma que me asigne la ip publica por defecto, y no me asigne una ip privada o es una configuracion adicional a hacer en el pfsense. Espero su orientacion.
Saludos
Ricardo
En ese caso, debes crear una regla similar en tu router, para que envíe el tráfico que llega a la 190.117.213.xxx al puerto TCP 990 a la IP que tiene la WAN de tu pfSense.
Verifica la documentación de tu router.
Recomendación, pon la WAN de tu pfSense con una ip fija (192.168.1.20) para que no vaya a cambiar en el futuro y tengas que actualizar las reglas.
Victor, yo no sé mucho de estos temas y donde trabajo lamentablemente tampoco, ando haciendo mi investigación sobre pfsense y sus usos ya que no lo conocía. Donde me encuentro veo nuestro pfsense está en nuestra ippublica, la cuál si se ingresa con algún puerto esta te dirige a algun sitio de nosotros.
Teniendo en cuenta esto ando investigando para efectuar lo siguiente:

Uno de los sitios internos necesito que tenga una conexión segura, para que otra página externa a nosotros pueda comunicarse con ella.
Según yo la solución está en el pfsense añadiéndole las conexiones seguras, también ando viendo el uso también de Cloudflare para la solución de DNS, pero sigo con dudas, no se sí estos pasos son los adecuados para dar con mi objetivo o quizás la respuesta esta en otro lado.

Espero tener suerte de que veas el mensaje porqué ya ha pasado tiempo, Saludos!

2.1k preguntas

3.3k respuestas

3.1k comentarios

2.2k usuarios

...