Versión experta
Quiero crear una ruta en pfSense que envíe el tráfico al puerto WAN físico , no al puerto WAN PPPoE . quiero hablar con el servidor web en mi módem DSL; permitiéndome ver la tasa de sincronización actual y los márgenes de SnR El módem no ve los paquetes destinados a él, porque se envían a través del túnel PPPoE .
Versión larga
Mi enrutador pfSense es responsable de configurar la conexión PPPoE a través de DSL a mi ISP. Cuando una máquina en la LAN desea enviar paquetes a Internet, la ruta predeterminada envía paquetes a través de la conexión PPPoE . Esos paquetes, envueltos en un encabezado PPPoE , se envían por cable Ethernet a mi módem DSL. Desde allí se les envía el ISP e Internet en general.
+----------------------+ +----------------------+
|IPv4 header (20 bytes)| +--------+ |PPPoE header (8 bytes)| +-----+ {‾‾‾‾‾‾‾‾}
| |===>|pfSense |===>|IPv4 header (20 bytes)|===>|Modem|===>{Internet}
| | +--------+ | | +-----+ {________}
| | | |
+----------------------+ +----------------------+
Quiero una forma de enviar un paquete desde el puerto WAN en sí, no desde el puerto WAN PPPoE.
Mi módem está sentado allí, con una interfaz http donde puedo monitorear
- velocidad de conexión
- relación señal-ruido
- ancho de banda
- Tiempo de conección
Cada vez que intento establecer una ruta para que el destino 192.168.2.1
(la IP que escuchará el módem para las solicitudes HTTP) salga del puerto WAN , terminan saliendo del puerto PPPoE .
La diferencia es que están envueltos en un paquete de protocolo PPPoE, y al módem no se le envía el paquete, sino que se entrega al ISP.
Dado que pfSense no tiene la capacidad de dirigir el tráfico fuera del puerto WAN físico: ¿cómo puedo dirigir el tráfico fuera del puerto WAN físico en pfSense?
Aquí está exactamente la misma pregunta que hice hace 3 años en el foro pfSense :
Mi módem tiene una interfaz web. Es útil porque puedo ver si está realmente conectado o no, ruido de línea, tasas de error, etc.
Si conecto el módem a mi PC destop (en lugar de a la PC pfSense), puedo hacer ping y explorar bien la interfaz web del módem. La IP del módem es 192.168.0.254 y escucha en el puerto 8080. También puedo rastrear paquetes de la actividad desde mi PC:
Ping módem
ARP REQ Phalanx => Broadcast 192.168.0.98 -?- 192.168.0.254
ARP RESP Phalanx <= Ovislink_LAN 192.168.0.254 -!- 192.168.0.98
IP/ICMP Phalanx => Ovislink_LAN 192.168.0.98 => 192.168.0.254 ECHO
IP/ICMP Phalanx <= Ovislink_LAN 192.168.0.98 <= 192.168.0.254 ECHOREPLY
Puede ver mi máquina haciendo una transmisión ARP, solicitando la dirección MAC del módem (el Ovislink). El módem responde con su IP, el eco se apaga y recibo una respuesta. Se pueden ver detalles similares cuando me conecto al puerto web del módem:
Conexión al puerto web 8080
ARP REQ Phalanx => Broadcast 192.168.0.98 -?- 192.168.0.254
ARP RESP Phalanx <= Ovislink_LAN 192.168.0.254 -!- 192.168.0.98
IP/TCP Phalanx => Ovislink_LAN 192.168.0.98:50001 => 192.168.0.254:8080 SYN
IP/TCP Plalanx <= Ovislink_LAN 192.168.0.98:50001 <= 192.168.0.254:8080 SYNACK
IP/TCP Phalanx => Ovislink_LAN 192.168.0.98:50001 => 192.168.0.254:8080 ACK
Después de la solicitud ARP, se establece una conexión TCP con el proceso normal SYN, SYN ACK, ACK. Y todo esta bien.
Ahora, en lugar de conectar el módem a mi PC de escritorio, lo conecto a la PC que ejecuta pfSense.
Nota: Anteriormente, había cambiado la dirección IP LAN de pfSense para que fuera 192.168.1.1/16
, en lugar de 192.168.1.1/24
. Esto se debe a que mi red ya estaba 192.168.0.0/16
.
Lo primero que hago es desactivar el "redes privadas bloque" característica bajo Interfaces->WAN
, ya que la interfaz LAN del módem se está ejecutando como 192.168.0.254
. Esto elimina la primera entrada del firewall Firewall->Rules
que estaba bloqueando todo el tráfico RFC1918. A continuación, agregué una regla de firewall:
Acción: Paso
Interfaz:
Protocolo WAN : TCP
Fuente: host único o alias, 192.168.0.254
Destino: subred LAN
Rango de puertos de destino: cualquiera
Paquetes de registro: Sí
Descripción: Módem ADSL
Después de guardar y aplicar mis cambios, intenté usar la Diagnostics->Ping
función para hacer ping 192.168.0.254
en el lado de la WAN. Por supuesto, no funcionó.
Lo pensé, y me parece que no puedo permitir que los paquetes TCP entren en la WAN 192.168.0.254
, también necesito permitir los paquetes de respuesta ARP (¿de qué otra manera pfSense podría encontrar la dirección MAC del hardware al que está tratando de enviar un mensaje? Paquete IP a?). También se me ocurrió que no puedo decir LAN como destino, porque en realidad es la interfaz WAN la que hace ping. Así que actualicé la regla del firewall para:
Acción:
Interfaz de paso :
Protocolo WAN : cualquiera
Fuente: host único o alias, 192.168.0.254
Destino: cualquier
Rango de puertos de destino: cualquiera
Paquetes de registro: Sí
Descripción: Módem ADSL
Ahora cuando lo hago ping ... no funciona. No es una verdadera sorpresa allí. Entonces decidí ejecutar un rastreo de paquetes:
Interfaz:
Dirección de host WAN : 192.168.0.254
Recuento: 1
Nivel de detalle: Completo
Comencé a rastrear, hice un ping Diagnostics->Ping
y no obtuve nada. No hay respuesta de ping y no hay paquetes en la traza.
Entonces ahora se me ocurre que solo porque:
- pfSense está en el
192.168.1.1/16
subet - mi escritorio está en la
192.168.0.98/16
subred - mi servidor está en la
192.168.0.10/16
subred
tal vez el módem no está en la /16
subred. Vuelvo a conectar el módem a mi escritorio, me conecto a la interfaz web y veo que está configurado 192.168.0.254/24
. Así que reconfigure el módem para 192.168.1.254/24
. luego reconfigurar
- mi escritorio para ser
192.168.1.98
, - el servidor a ser
192.168.1.10
, - y ahora el módem es
192.168.1.254
- Además de ser pfSense
192.168.1.1
.
Vuelvo a conectar el módem al cuadro pfSense, intento hacer ping y obtengo ... no hay respuesta. Hago un seguimiento de paquetes de paquetes 192.168.1.254
y veo ... ninguno.
Así que ahora estoy perplejo y estoy pidiendo ayuda.
No estoy seguro de que sea posible con DSL ... ¿Puede crear una regla de firewall con solo parámetros WAN? En otras palabras, vaya a Firewall> Reglas> WAN y cree la regla allí. Asegúrese de restringir el tráfico para que no incluya PPPoE, es decir, LAN> WAN.
fuente
LAN
oWAN
.Me parece que su enrutador de módem está en modo puente, y que el enrutador pfSense está configurado con el ID de cliente PPPoE para recibir su IP pública del ISP directamente. Asegúrese de que el enrutador no esté en modo puente y que esté configurado como un servidor dhcp. Luego dígale a pfSense que obtenga su IP WAN por DHCP.
Eso es realmente una suposición ...
fuente
Mi respuesta podría ser similar a lo que algunos de los otros publicaron. Pero creo que esto ( https://doc.pfsense.org/index.php/Accessing_modem_from_inside_firewall ) responderá su pregunta
fuente
Para configurar esto, necesitaría un interruptor para enchufar el módem. El firewall PFSense se conectará a ese conmutador con dos puertos. Un puerto aparecerá inicialmente como un puerto OPT, pero puede cambiarle el nombre. El cortafuegos utilizará la conexión PPPoE como interfaz WAN, pero puede enrutar al módem a través de la interfaz opt.
fuente