Buenas de nuevo JGeek00 !
Vale perfecto, pues no es tema DNS.
Yo en tu caso intentaría entonces primero capturar tráfico en el FW en la interfaz LAN, y revisa la IP del deco, a ver qué está haciendo cuando en el deco intentas acceder a contenido de internet. Una vez revisado eso, revisa a nivel de logs del firewall qué está ocurriendo con esas IPs destino que viste que intenta alcanzar el deco (por lo que he visto en las capturas, no tienes los logs del FW activados, actívalos aunque sea para hacer el troubleshooting y ya los vuelves a desactivar).
Haciendo ese seguimiento podríamos saber más sobre lo que ocurre, en la captura debes fijarte en:
- Tráfico DNS (si estás usando DNS en la LAN (TCP-53), en la captura de tráfico podrás ver qué URLs está intentando alcanzar el deco, para así después confirmar que por ejemplo no las estés bloqueando con algúna lista de DNS o similar, si es que las tienes.
- IPs destino del deco cuando intentas acceder a contenido de internet, así sabiendo que por ejemplo: "cuando le doy a la app de youtube, en la captura se ve que el deco manda un paquete con destino 80.234.76.75(IP inventada), por lo que me guardo esa IP y me voy a los logs del FW, veo si para empezar llega como origen con la IP LAN del deco, veo si en el log de la WAN, se ve cómo se natea la IP LAN del deco con la WAN de tu casa, y a su vez la WAN con la IP destino que vimos".
Para ello tienes que tener activado en tu OPNSense el log de reglas de NAT también:
Yo la tengo desactivada porque genera muchos logs, actívala y después si quieres desactívala.
Tras ello, deberías ver en el log lo siguiente:
El flujo de tráfico tendría que ser ese, primero ver la IP del deco en la LAN intentando alcanzar la pública, después la regla de NAT (color azul) para natear la salida, y por último, la regla en la WAN con origen tu IP pública y destino la IP que deseas alcanzar.
Si ves eso correcto, nos estamos quedando sin opciones, habría que revisar routing también y alguna cosa más, pero yo comenzaría por ahí, captura de tráfico en el FW, revisas con whireshark si cuando intentas alcanzar INET, sale como ORIGEN la IP del deco (192.168.1.x) y te guardas la IP publica destino (youtube, google, netflix, etc.). Revisas logs y confirmas que todo sigue su camino correcto.
Espero no haberte liado mucho, me vas contando, un saludo!!!
Esto es un extracto de lo que me he encuentro en el registro. Yo no tengo en el registro ninguna entrada con la flecha hacia la derecha como tienes tu. Y la mayoría de entradas son solicitudes DNS porque acaban con el puerto 53. Tampoco veo ninguna entrada azul de WAN o LAN, todas son de IPTV
Este es un ejemplo al darle al boton de ver desde el principio en el mando cuando estoy viendo un canal en directo. Todo lo que tiene que ir por IPTV perfecto, pero lo que tiene que ir por LAN o WAN nada.
El único tráfico relacionado con la TV que veo por la WAN son peticiones al servidor DNS. En este caso han sido al comprobar conexión en Netflix.
Las reglas que tengo en IPTV
Las reglas que tengo en LAN
La configuración que tengo es:
Por el puerto eth0 entra el cable ethernet desde la ONT, y la LAN sale por el eth1. Después hay un switch, y detrás otro switch, y a ese segundo switch está conectado el deco. Ambos switch soportan IGMP Snooping. El deco ha estado funcionando perfectamente con esta configuración con el router Asus.
