domingo, 7 de junio de 2026

Segmentación de Red en OPNsense: Aislando un NAS con Dnsmasq y solucionando el error HTTP 403 Forbidden

OPNsense Dnsmasq Networking SysAdmin

Segmentación de Red en OPNsense: Aislando un NAS con Dnsmasq y solucionando el error HTTP 403 Forbidden

Recientemente me encontré en la necesidad de aislar un dispositivo de almacenamiento en red (un NAS WD MyCloud) en su propia interfaz física dentro de una pasarela enrutadora basada en OPNsense (versión 25.7). El objetivo era claro: dotar al dispositivo de un direccionamiento dinámico aislado del resto de equipos, pero permitiendo el acceso controlado exclusivamente desde nuestra red local principal (LAN).

En esta entrada detallaré el proceso completo de configuración utilizando el plugin unificado Dnsmasq DNS & DHCP, así como la resolución de un problema típico de seguridad (HTTP 403 Forbidden) que aplican de fábrica estos dispositivos de almacenamiento cuando se intenta acceder a ellos desde subredes cruzadas.

Entorno e IPs utilizadas (Anonimizadas)
  • Red LAN Principal: Interfaz re0 - Segmento 192.0.2.0/24
  • Red del NAS Dedicada: Interfaz em3 - Segmento 198.51.100.0/24
  • IP estática asignada a la interfaz del NAS: 198.51.100.1

Paso 1: Inicialización y Habilitación de la Interfaz Física

Antes de desplegar cualquier servicio DHCP, la interfaz dedicada del enrutador debe levantarse con una configuración estática.

  • Navega en el panel de OPNsense hacia Interfaces > [Asignaciones].
  • Asocia la interfaz física em3, dale un identificador descriptivo (por ejemplo, NAS_STORAGE) y añádela pulsando el botón +.
  • Entra en la configuración de la nueva interfaz, marca la casilla Habilitar interfaz y en Tipo de configuración IPv4 selecciona IPv4 estática.
  • Desplázate a la sección inferior de direccionamiento y define la IP de la pasarela: 198.51.100.1 con una máscara /24 (255.255.255.0).
  • Guarda los cambios y confirma haciendo clic en Aplicar cambios.

Paso 2: Despliegue de DHCP mediante Dnsmasq

Con la interfaz activa, configuramos el servidor integrado para la entrega de direccionamiento automático en el nuevo segmento.

  • Dirígete a Servicios > Dnsmasq DNS & DHCP > General.
  • En el selector de Interfaz, mantén pulsada la tecla Ctrl y asegúrate de que tanto tu interfaz LAN como la nueva NAS_STORAGE se encuentren seleccionadas para escuchar peticiones (o mantén la directiva en "Todo" si prefieres un enfoque global). Guarda si realizaste modificaciones.
  • Cambia a la pestaña superior DHCP ranges y añade un nuevo rango dinámico haciendo clic en el botón +.
  • Configura los parámetros del bloque del NAS: 
    # Configuración del pool de DHCP para la interfaz del NAS
Interfaz: NAS_STORAGE
Desde (From): 198.51.100.100
Hasta (To):   198.51.100.200
  • Guarda el rango y aplica los cambios del servicio. Al conectar el dispositivo de almacenamiento, este tomará una IP del rango establecido (por ejemplo, la 198.51.100.150).
Consejo de persistencia: Una vez que el dispositivo tome IP, puedes acudir a la pestaña Arrendamientos (Leases) de Dnsmasq y pulsar el botón + a la derecha de la concesión para transformarla en un mapeo estático permanente.

Paso 3: Apertura del Cortafuegos (Tráfico Inter-VLAN)

Por defecto, las directivas implícitas de OPNsense deniegan el tráfico entre segmentos locales distintos. Dado que las peticiones legítimas nacerán en la red de usuarios hacia el almacenamiento, la regla debe inyectarse en la interfaz de origen.

  • Navega a Cortafuegos > Reglas > LAN.
  • Inserta una nueva regla al principio de la cadena de procesamiento de la interfaz (icono + con flecha hacia abajo).
  • Aplica las siguientes variables de filtrado:
    • Acción: Pass
    • Dirección: in
    • Protocolo: TCP/UDP (o Cualquiera si deseas habilitar ICMP/pings diagnósticos).
    • Origen (Source): LAN net
    • Destino (Destination): NAS_STORAGE net (o la IP específica asignada fija al equipo).
  • Aplica los cambios en el cortafuegos. El enrutamiento básico ya está operativo.

El Desafío: Solución al Error HTTP 403 Forbidden

Al intentar acceder a la interfaz web de administración del NAS escribiendo su dirección en el navegador (http://198.51.100.150/UI), nos topamos con un bloqueo de servidor web:

Forbidden

You don't have permission to access /UI on this server.

¿Por qué ocurre esto?

Muchos dispositivos NAS de consumo incluyen configuraciones internas de seguridad rígidas en sus servidores web (Apache/Nginx). El sistema detecta que la petición proviene de un segmento distinto (192.0.2.X) al de su propia subred local (198.51.100.X) y rechaza la conexión por desconfianza de red cruzada.

Solución elegante: Implementación de Outbound NAT (Enmascaramiento)

Si no deseas o no puedes modificar los archivos de configuración internos del firmware del fabricante vía SSH, la solución más limpia y rápida es hacer que OPNsense enmascare el origen de la conexión de forma transparente empleando NAT de salida.

  • Dirígete en el panel lateral a Cortafuegos > NAT > Saliente (Outbound).
  • Conmuta el modo global de la parte superior a Hybrid outbound NAT rule generation y pulsa Guardar.
  • Crea una nueva regla manual en la parte superior e introduce exactamente los siguientes datos: 
    Interface:     NAS_STORAGE  # La interfaz em3
Protocol:      any
Source:        LAN net      # Red de tus equipos (192.0.2.0/24)
Destination:   198.51.100.150 # IP estática del NAS
Translation:   Interface address
  • Aplica los cambios.

Resultado: Cuando un equipo de la LAN intenta conectar al almacenamiento, OPNsense reescribe la IP de origen del paquete sustituyéndola por su propia dirección en ese segmento (198.51.100.1). El NAS interpreta que la petición proviene de su misma red física local, valida la sesión HTTP correctamente y disipa de inmediato el error de exclusión.

Post publicado originalmente en el laboratorio técnico de administración de sistemas. Todos los derechos reservados.

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)