MULTI WAN WITH VLAN MODE - Defaut Gateway

israeljosemaria

Hi guys, how its going?

PLEASE, SAVE-ME:

I have this SCENARIO:

1. 2 wans - (optical fiber)
2. 11 VLANS
3. 1 Gtw Group to LOAD BALANCE MODE
4. all wans same weight (to configure balance mode)
5. DEFAULT GATEWAY IN GTW GROUP = LOAD BALANCE
6. DEFAULT GATEWAY IN FIREWALL RULES = DEFAULT

In this scenario, LOAD BALANCE MODE, DOES NOT WORK

IF i change DEFAUT GATEWAY in FIREWALL RULES to LOAD BALANCE, ALL VLANS DOES NOT COMUNICATE, but LOAD BALANCE MODE, it works!!!

I'm getting crazy!!!!!!!!

i need to used LOAD BALANCE, with VLANS communicating normally...

Any ideia?

TKS, for all!!!

mcury

@israeljosemaria You need to create firewall rules to allow each vlan to speak to the others VLANs and insert them above the Internet rule.

See this image below:

1st rule allows my LAN to reach my firewall (TCP)
2nd rule allows my LAN to reach my firewall (UDP)
3rd rule allows my LAN to reach the other vlans (internal networks), using gateway default.
4th rule allows my LAN to use the Internet using the gateway group.

israeljosemaria

Dear @MCURY

THANK YOU VERY MUTCH!!!, Thanks to your tip, I managed to get everything working.

1. Create an ALIAS with all NETWORKS ABLE.
2. Create an RULE to permit connection above NETWORKS into ALIAS to DEFAULT GATEWAY (*).
3. Put this rule, ABOVE the internet connection.
4. Set INTERNET CONNECTION to GATEWAY GROUP
   (see picture)

ATTENCION!
Set All vlans having this setup, INCLLUDING LAN INTERFACE!!!

SE VOCE FALAR PORTUGUÊS, VALEW MANO!!!!

mcury

@israeljosemaria Opa, falo português sim..

O que aconteceu foi que quando você coloca um gateway na regra, cria-se uma policy route.
Sendo assim, se não houver uma regra criada para as outras redes internas, ela será direcionada para o gateway especificado na regra roteando de forma errada.

Portanto, em multiwan com necessidade de conectividade entre as outras VLANs, é necessário criar a regra com o gateway default entre as VLANs e inseri-la antes da regra cujo gateway não é o default.

israeljosemaria

@mcury

CARA, VALEW MESMO!!!!, salvou o dia!!...

Agora, como já ví que vc manja muito, posso abusar?

Nesse mesmo CASE, eu coloquei uma placa de rede MULTIWAN, com 4 interfaces Gb., onde eu tinha a idéia de fazer o LAGG, então usar duas interfaces para a rede interna.

Resultado, NÃO CONSEGUÍ, pois a minha LAN está gerenciando todas as VLANS.

Como devo proceder pra usar o LAGG + Vlans no PFsesnse?

mcury

@israeljosemaria O seu switch aceita suporta isso, protocolo LACP (802.3ad)?
É necessário que a velocidade das portas e MTU no LAG sejam idênticos e que as portas estejam em full-duplex.

As interfaces para poderem ser adicionadas no LAGG, precisam não ter nenhum assignment, ou seja, livres caso contrário elas nem aparecem lá pra configurar.

Nesse caso você pega 2 portas do seu pfsense, que não estejam assigned, conecta em duas portas do switch, configura o LAGG e cria as VLANs no lagg0.

Como você já tem tudo assigned, vai precisar remover os assignments, note que isso vai derrubar a rede toda.

• Salva a configuração do pfsense antes de começar.
• Arruma uma janela para não atrapalhar os seus clientes.
• Arruma um acesso ao pfsense em outra porta para gerenciar pois se você for mexer na LAN, provavelmente vai perder o acesso e se isolar do firewall.
• Faça o mesmo pro switch.
• Provavelmente vai ser necessário recriar as regras de Firewall depois de recriar as interfaces, tente salvar tudo de uma maneira fácil de reconfigurá-las depois.

israeljosemaria

Beleza!!!, vou testar e posto aqui depois.
Meu switch aceita sim, é um CISCO SG300-28P, eu já tinha isso configurado antes do PFsense, só não sabia como proceder com as Vlans, pois tentei fazer isso antes e, como vc disse, fiquei isolado do firewall.
Agora com as suas dicas vou conseguir...

Novamente... MUITO OBRIGADO MESMO!!, Forte Abraço
insta: israeljosemaria