pfSense: ¿Cómo enrutar el tráfico fuera del puerto WAN?

5

Versión experta

Quiero crear una ruta en pfSense que envíe el tráfico al puerto WAN físico , no al puerto WAN PPPoE . quiero hablar con el servidor web en mi módem DSL; permitiéndome ver la tasa de sincronización actual y los márgenes de SnR El módem no ve los paquetes destinados a él, porque se envían a través del túnel PPPoE .


Versión larga

Mi enrutador pfSense es responsable de configurar la conexión PPPoE a través de DSL a mi ISP. Cuando una máquina en la LAN desea enviar paquetes a Internet, la ruta predeterminada envía paquetes a través de la conexión PPPoE . Esos paquetes, envueltos en un encabezado PPPoE , se envían por cable Ethernet a mi módem DSL. Desde allí se les envía el ISP e Internet en general.

+----------------------+                  +----------------------+    
|IPv4 header (20 bytes)|    +--------+    |PPPoE header (8 bytes)|    +-----+    {‾‾‾‾‾‾‾‾}
|                      |===>|pfSense |===>|IPv4 header (20 bytes)|===>|Modem|===>{Internet}
|                      |    +--------+    |                      |    +-----+    {________}
|                      |                  |                      |
+----------------------+                  +----------------------+

Quiero una forma de enviar un paquete desde el puerto WAN en sí, no desde el puerto WAN PPPoE.

Mi módem está sentado allí, con una interfaz http donde puedo monitorear

  • velocidad de conexión
  • relación señal-ruido
  • ancho de banda
  • Tiempo de conección

Cada vez que intento establecer una ruta para que el destino 192.168.2.1(la IP que escuchará el módem para las solicitudes HTTP) salga del puerto WAN , terminan saliendo del puerto PPPoE .

La diferencia es que están envueltos en un paquete de protocolo PPPoE, y al módem no se le envía el paquete, sino que se entrega al ISP.

Dado que pfSense no tiene la capacidad de dirigir el tráfico fuera del puerto WAN físico: ¿cómo puedo dirigir el tráfico fuera del puerto WAN físico en pfSense?


Aquí está exactamente la misma pregunta que hice hace 3 años en el foro pfSense :

Mi módem tiene una interfaz web. Es útil porque puedo ver si está realmente conectado o no, ruido de línea, tasas de error, etc.

Si conecto el módem a mi PC destop (en lugar de a la PC pfSense), puedo hacer ping y explorar bien la interfaz web del módem. La IP del módem es 192.168.0.254 y escucha en el puerto 8080. También puedo rastrear paquetes de la actividad desde mi PC:

Ping módem

ARP REQ    Phalanx => Broadcast     192.168.0.98  -?- 192.168.0.254
ARP RESP   Phalanx <= Ovislink_LAN  192.168.0.254 -!- 192.168.0.98
IP/ICMP    Phalanx => Ovislink_LAN  192.168.0.98  =>  192.168.0.254 ECHO
IP/ICMP    Phalanx <= Ovislink_LAN  192.168.0.98  <=  192.168.0.254 ECHOREPLY

Puede ver mi máquina haciendo una transmisión ARP, solicitando la dirección MAC del módem (el Ovislink). El módem responde con su IP, el eco se apaga y recibo una respuesta. Se pueden ver detalles similares cuando me conecto al puerto web del módem:

Conexión al puerto web 8080

ARP REQ     Phalanx => Broadcast    192.168.0.98       -?- 192.168.0.254
ARP RESP    Phalanx <= Ovislink_LAN 192.168.0.254      -!- 192.168.0.98
IP/TCP      Phalanx => Ovislink_LAN 192.168.0.98:50001 =>  192.168.0.254:8080 SYN
IP/TCP      Plalanx <= Ovislink_LAN 192.168.0.98:50001 <=  192.168.0.254:8080 SYNACK
IP/TCP      Phalanx => Ovislink_LAN 192.168.0.98:50001 =>  192.168.0.254:8080 ACK

Después de la solicitud ARP, se establece una conexión TCP con el proceso normal SYN, SYN ACK, ACK. Y todo esta bien.

Ahora, en lugar de conectar el módem a mi PC de escritorio, lo conecto a la PC que ejecuta pfSense.

Nota: Anteriormente, había cambiado la dirección IP LAN de pfSense para que fuera 192.168.1.1/16, en lugar de 192.168.1.1/24. Esto se debe a que mi red ya estaba 192.168.0.0/16.

Lo primero que hago es desactivar el "redes privadas bloque" característica bajo Interfaces->WAN, ya que la interfaz LAN del módem se está ejecutando como 192.168.0.254. Esto elimina la primera entrada del firewall Firewall->Rulesque estaba bloqueando todo el tráfico RFC1918. A continuación, agregué una regla de firewall:

Acción: Paso
Interfaz:
Protocolo WAN : TCP
Fuente: host único o alias, 192.168.0.254
Destino: subred LAN
Rango de puertos de destino: cualquiera
Paquetes de registro:
Descripción: Módem ADSL

Después de guardar y aplicar mis cambios, intenté usar la Diagnostics->Pingfunción para hacer ping 192.168.0.254en el lado de la WAN. Por supuesto, no funcionó.

Lo pensé, y me parece que no puedo permitir que los paquetes TCP entren en la WAN 192.168.0.254, también necesito permitir los paquetes de respuesta ARP (¿de qué otra manera pfSense podría encontrar la dirección MAC del hardware al que está tratando de enviar un mensaje? Paquete IP a?). También se me ocurrió que no puedo decir LAN como destino, porque en realidad es la interfaz WAN la que hace ping. Así que actualicé la regla del firewall para:

Acción:
Interfaz de paso :
Protocolo WAN : cualquiera
Fuente: host único o alias, 192.168.0.254
Destino: cualquier
Rango de puertos de destino: cualquiera
Paquetes de registro:
Descripción: Módem ADSL

Ahora cuando lo hago ping ... no funciona. No es una verdadera sorpresa allí. Entonces decidí ejecutar un rastreo de paquetes:

Interfaz:
Dirección de host WAN : 192.168.0.254
Recuento: 1
Nivel de detalle: Completo

Comencé a rastrear, hice un ping Diagnostics->Pingy no obtuve nada. No hay respuesta de ping y no hay paquetes en la traza.

Entonces ahora se me ocurre que solo porque:

  • pfSense está en el 192.168.1.1/16subet
  • mi escritorio está en la 192.168.0.98/16subred
  • mi servidor está en la 192.168.0.10/16subred

tal vez el módem no está en la /16subred. Vuelvo a conectar el módem a mi escritorio, me conecto a la interfaz web y veo que está configurado 192.168.0.254/24. Así que reconfigure el módem para 192.168.1.254/24. luego reconfigurar

  • mi escritorio para ser 192.168.1.98,
  • el servidor a ser 192.168.1.10,
  • y ahora el módem es 192.168.1.254
  • Además de ser pfSense 192.168.1.1.

Vuelvo a conectar el módem al cuadro pfSense, intento hacer ping y obtengo ... no hay respuesta. Hago un seguimiento de paquetes de paquetes 192.168.1.254y veo ... ninguno.

Así que ahora estoy perplejo y estoy pidiendo ayuda.

Ian Boyd
fuente

Respuestas:

2

Creo que he logrado hacer lo que me pediste. Deberá agregar una interfaz, puerta de enlace y una regla para enrutar el tráfico a esa puerta de enlace para el rango de IP de su módem.

Así que mi configuración: enrutador Billion conectado al cable telefónico - configurado en modo puente. Enrutador pfsense conectado a mil millones de enrutadores a través del cable lan. pfsense versión 2.1.5

pfsense configurado para tener 3 interfaces:

  • WAN - PPPOE sobre re0 (configuración como parte del asistente de configuración)
  • LAN: host dhcp sobre em0 con dhcp asignando IP entre 192.168.1.128 y 192.168.1.192 (configuración como parte del asistente de configuración)
  • MODEMACCESS - cliente dhcp sobre re0 (tuvo que agregarse manualmente después de la configuración)

Puertas de enlace:

  • GW_WAN - interfaz = WAN; Dirección IP de la puerta de enlace = dinámica; puerta de enlace predeterminada
  • MODEMACCESS_DHCP - interfaz = MODEMACCESS; Dirección IP de la puerta de enlace = dhcp; NO puerta de enlace predeterminada

Reglas:

  • Bajo WAN tengo los 2 bloques habituales y un pase todo, gatway = default
  • Bajo LAN tengo 192.168.1.1/24 fuente y 192.168.1.1/24 regla de bloqueo de destino y algunas reglas de asignación de cola de 192.168.1.x a! 192.168.1.x, gateway = default
  • Bajo MODEMACCESS fuente 192.168.1.1/24 a destino 10.0.0.2/24 con pasarela MODEMACCESS_DHCP

IP para dispositivos:

  • mil millones de enrutadores ip 10.0.0.2
  • pfsense LAN ip: 192.168.1.1
  • IP pública WAN de pfsense determinada por PPPOE
  • pfsense MODEMACCESS IP determinado por mil millones de servidores DHCP

Puedo acceder a la interfaz web de mil millones de enrutadores escribiendo 10.0.0.2 (o el nombre de host) en cualquier navegador de cualquier PC en la red LAN. Puedo acceder a Internet en cualquier dispositivo conectado a la red LAN (a través de la conexión PPPOE en pfsense.

Walter Aldum
fuente
Si, esto funciona. La capacidad de agregar interfaces arbitrarias adicionales se agregó a pfSense en algún momento después de que hice la pregunta. La respuesta de @getack enlaza con el nuevo tutorial de pfSense titulado Acceso al módem desde el firewall interno
Ian Boyd
2

No estoy seguro de que sea posible con DSL ... ¿Puede crear una regla de firewall con solo parámetros WAN? En otras palabras, vaya a Firewall> Reglas> WAN y cree la regla allí. Asegúrese de restringir el tráfico para que no incluya PPPoE, es decir, LAN> WAN.

nicorellius
fuente
No, las únicas opciones para las interfaces son LANo WAN.
Ian Boyd
Voy a aceptar la respuesta "no posible". Parece ser la respuesta correcta.
Ian Boyd
1

Me parece que su enrutador de módem está en modo puente, y que el enrutador pfSense está configurado con el ID de cliente PPPoE para recibir su IP pública del ISP directamente. Asegúrese de que el enrutador no esté en modo puente y que esté configurado como un servidor dhcp. Luego dígale a pfSense que obtenga su IP WAN por DHCP.

Eso es realmente una suposición ...

Seagullarity
fuente
0

Para configurar esto, necesitaría un interruptor para enchufar el módem. El firewall PFSense se conectará a ese conmutador con dos puertos. Un puerto aparecerá inicialmente como un puerto OPT, pero puede cambiarle el nombre. El cortafuegos utilizará la conexión PPPoE como interfaz WAN, pero puede enrutar al módem a través de la interfaz opt.

usuario311628
fuente