[SOLUCIONADO] Ayuda con migración WAN de PPPOE a 4G

[Serius]

Hola. He abierto un hilo sobre este mismo tema en el foro inglés, pero como parece más muerto que los dinosaurios, pido ayuda en Español.

Alguien me puede ayudar a configurar una wan en paralelo, para una nueva línea 4G donde ya existe una ADSL?
Advierto que aunque sea 4G, va con el router de la compañía, que ya he comprobado que no se puede poner en modo bridge. Simplemente le he anulado el firewall, wifi y he definido una DMZ a la ip (fija) del opnsense en el nuevo interfaz. Pero no consigo que me resuelva nombres, a pesar de que aparentemente dice que está "online"

Agradeceré toda ayuda que podáis prestarme.

[mapsware]

Estas reemplazando la linea ADSL por una 4G?

La IP del ruteador 4G debe ser el ruteador de default en el OPNsense, verifica las rutas que quedan configuradas en el OPNsense

Que servidor de DNS estas utilizando?

[Serius]

Muchas gracias.

Originalmente estuve usando unbound con la solución para tsl así que tenía 127.0.0.1 pero también probé usar las de Google sin resultado.

Enviado desde mi MI 5s Plus mediante Tapatalk

[mapsware]

¿Entonces tienes las 2 lineas (ADSL y 4G) funcionando al mismo tiempo?

¿Ya comprobaste que el OPNsense puede utilizar la conexión 4G?

Conectate por SSH y prueba conectividad con ping y traceroute

[Serius]

Pues mi intención era esa, tener ambas funcionando e ir cambiando para probar. Como el router 4G me lo han prestado, pensé que era la mejor opción hasta tener el mío propio.
Pero no he sido capaz. Al final he tenido que crear una nueva máquina virtual con opnsense y desde cero, configurar esta nueva WAN. Así la ha cogido, y he estado migrando la configuración básica manualmente, a base de comparar exportaciones de configuración, traspasando cambios y reimportando.
A parte de lo que viene por defecto, he traspasado las redes virtuales, reglas de fw de estas, y he dejado de lado IPS y TSLDNS. Pero no he podido tener ambas coexistiendo.

[mapsware]

Entonces tu problema desde el principio era la resolución de nombres locales

Casi estoy seguro que si te resolvía nombres de internet

La configuración de una WAN a un router no tiene que ver con la resolución de nombres (exceptuando la conectividad)

Lo que no entiendo es la relación de Unbound en la resolución de nombres.

Pues que Ubound es tu servidor DNS

Unbound is a validating, recursive, caching DNS resolver. It is designed to be fast and lean and incorporates modern features based on open standards.

https://nlnetlabs.nl/projects/unbound/about/

Lo bueno es que ya resolviste tu problema

[Serius]

@mapsware Aún no las tengo todas conmigo. Hace cosas muy raras.
Cómo por ejemplo, que desde la vlan de confianza (como interface en opn) sea capaz de entrar en el portal de administración del router 4g directamente. Solo desde este interfaz. Cuando no debería ser posible acceder a la IP del gateway de la wan.

Enviado desde mi MI 5s Plus mediante Tapatalk

[mapsware]

que desde la vlan de confianza (como interface en opn) sea capaz de entrar en el portal de administración del router 4g directamente. Solo desde este interfaz.

Me imagino ue la interfaz de administración del router 4G es una pagina web

Pon una regla en el firewall que bloquee paquetes con destino el router 4G, puerto 80 y origen distinto a la subred de la VLAN de confianza

[Serius]

Pon una regla en el firewall que bloquee paquetes con destino el router 4G, puerto 80 y origen distinto a la subred de la VLAN de confianza

Hola. Te importaría aclararme esto? No es que no entienda lo que dices. Lo que no acabo de entender es como funciona el interfaz del firewall de opnsense. Lo que siempre había hecho, y he trabajado con muchos firewalls, es definir las reglas de bloqueo/protección, en el interfaz que se desea proteger. Es decir, que si no quieres que se acceda a un equipo de la vlan IOT, te ibas a esa red y definías una regla que decia que se bloqueaban las conexiones entrantes a esa IP.
En opnsense me encuentro haciendo las reglas de bloqueo en todos los interfaces excepto en el que se debe proteger, es decir que en lugar de reglas de bloqueo de entrada, son reglas de bloqueo de salida.

No se si me he explicado bien y tiene sentido para tí. Me pregunto si me lo podrías explicar, por favor, por que cada vez que tengo que hacer algo en el sistema, al final me pierdo. Y estoy harto de tener que hacer 25mil reglas cuando solo quiero conseguir una cosa.
Muchas gracias.

[mapsware]

Es decir, que si no quieres que se acceda a un equipo de la vlan IOT, te ibas a esa red y definías una regla que decia que se bloqueaban las conexiones entrantes a esa IP.

Cuando accedes a

Firewall : Rules

Te aparecen las interfaces (tarjetas de red) que tiene el OPNsense mas la opción "Floating", básicamente estas seleccionando la interfaz (la red como tu comentas)

Si defines la regla en "Floating" es como definirla en todas las interfaces (no especifiques la interface)

Entrada y salida depende del origen del paquete y la interfaz que estas configurando

Por ejemplo, en el caso que comentas

que desde la vlan de confianza (como interface en opn) sea capaz de entrar en el portal de administración del router 4g directamente. Solo desde este interfaz.

Yo la definiría en la WAN como "passs" los paquetes de salida con origen en la subred permitida y destino la direccion ip:puerto de la GUI de administración.

Espero haber sido claro