Roteamento entre duas lans no mesmo pfsense

mcury

@fcostars vá em Diagnostics > Packet Capture
Selecione a interface LAN358
ponha o IP de destino no campo correto, protocolo põe ICMP, tenta pingar de novo para ver se o firewall está tentando entregar o pacote na rede de destino.

vamos capturar na interface de destino para ver o pacote está sendo entregue para a rede de destino.

fcostars

@mcury

mcury

@fcostars blz, o pacote está chegando no firewall pela LAN, agora pode confirmar se está saindo pela LAN358 ?

É só trocar a interface ali em cima e repetir o teste

fcostars

@mcury o que quero acessar é da lan -> lan358

segue um teste da Lan358 - Lan

mcury

@fcostars Ok, então o pacote entra pela LAN e sai pela LAN358, e não há resposta de retorno.
Isso significa que a impressora está recebendo o pacote e não está respondendo, ou está respondendo para o local errado.

Você pode acessar essa impressora pela página WEB, e confirmar o IP dela, máscara e default gateway ?
Nesse momento, esse acesso só vai funcionar vindo de um computador dentro da rede LAN358.

fcostars

@mcury fiz o dowload do pacote e abri no wireshark e o que aparece é que não foi recebido mesmo!
no painel do pfsense parece que foi recebido corretamente mas não.

mcury

@fcostars O pacote entrou na LAN e saiu pela LAN358 em direção a impressora, mas não teve resposta.
Isso pode significar que a impressora está:

1- Sem gateway configurado
2- Com gateway configurado errado, precisa ser o IP da interface LAN358 (192.168.200.1) do firewall.

Como está a sua configuração de DHCP dessa rede LAN358 ?
E como está a configuração da impressora, IP estático ou dinâmico ?

Edit: você alterou a captura e também alterou de onde você fez o ping ?
Olhei a captura de novo e me parece que você alterou a captura e pingou de outro local ?

Sugeri que apenas alterasse a captura mas pingasse do mesmo dispositivo, ok ?

fcostars

@mcury esse 192.168.200.191 é o meu pc e este ip 172.20.129.144 é o note que deixei espetado na outra rede.

cada uma dessas lan se conectam em um switch diferente correto.

o dhcp esta configurado corretamente dessa forma abaixo, como eu disse anteriormente eu tinha dois servers pfsense e decidi tirar o da lan358 e incluir no servidor da lan 172.
as configurações dhcp estao corretas. Só se ha alguma coisa no roteamento delas.

lan1
ip 172.20.129.0/24
ip gw 172.20.129.1
ip dns 172.20.129.1

lan2
ip 192.168.200.0/24
ip gw 192.168.200.1
ip dns 192.168.200.1

segue conf da minha placa de rede

mcury

@fcostars Ok, pode verificar acima, editei o post, após o edit.

@fcostars said in Roteamento entre duas lans no mesmo pfsense:

lan1
ip 172.20.129.0/24
ip gw 172.20.129.1
ip dns 172.20.129.1

lan2
ip 192.168.200.0/24
ip gw 192.168.200.1
ip dns 192.168.200.1

Está correto.

fcostars

@mcury respondendo a sua pergunta do edit

Edit: você alterou a captura e também alterou de onde você fez o ping ?
Olhei a captura de novo e me parece que você alterou a captura e pingou de outro local ?

eu fiz um ping de uma rede a outra e vice-versa em nenhum caso pingou.

fiz o download do pacote e abri no wireshark.

mcury

@fcostars said in Roteamento entre duas lans no mesmo pfsense:

eu fiz um ping de uma rede a outra e vice-versa em nenhum caso pingou.

A intenção era ver se o pacote entrava por uma interface e saia pela outra, em direção a impressora.

Preciso que você faça uma captura, na interface LAN358, usando o IP da impressora, ok ?
O ping precisa vir da LAN.

Quero saber se o pacote está saindo pela interface LAN358 corretamente, em direção a impressora.

fcostars

@mcury Desculpa eu não entendi!

em Capture option coloco a lan358 em host ip address coloco o ip da impressora ?
isso é na mesma rede, a impressora esta na lan358.
é isso?

mcury

@fcostars

Eu estou tentando entender se o firewall está entregando o pacote para a LAN358, certo ?
Para isso, faremos uma captura na interface de destino, conforme imagem abaixo.

Abra também o wireshark no laptop, e coloque icmp no campo de pesquisa do Wireshark, e confirme se o ping chega lá também.

Você tem alguma rota estática criada no firewall ?

fcostars

@mcury Entendido!

Segue o print:

abaixo o print do donwload da captura feita pelo pfsense que abri no meu pc pelo wireshark

mcury

@fcostars Ok, então o firewall está entregando o pacote para a interface correta.
Em relação a baixar a captura e abrir pelo Wireshark, não há necessidade de fazer isso nesse momento.

No entanto, vamos usar o Wireshark nesse laptop, é só abrir ele, selecionar a interface que tem o IP 172.20.129.144, e digita no campo de filtro do Wireshark, icmp, ou ip.addr == 192.168.200.191

Ah, e depois de abrir o wireshark no laptop, colocar os filtros e apertar ENTER, repita o teste de ping.

Observação: Vai precisar apagar o NAT que criamos anteriormente, ok ?
Se não a captura não vai pegar nada quando você filtrar pelo IP 192.168.200.191

fcostars

@mcury Desculpe a demora estava instalando o wireshark no note!

infelizmente nao aparece nada referente a lan358

mcury

@fcostars ok, então identificamos que o firewall está entregando o pacote para a interface correta, mas não chega no laptop.

Eu solicitei antes que tentasse pingar o laptop a partir do firewall, mas pelo que vejo na imagem que está lá em cima em outro post, é que você acabou pingando o IP errado, pode tentar de novo ?
Acho que você tentou pingar um dispositivo na rede 192.168.100 ao invés de 192.168.200.

fcostars

@mcury mas que burro da zero pra ele kkkk

sim responde do firewall

mcury

@fcostars said in Roteamento entre duas lans no mesmo pfsense:

mas que burro da zero pra ele kkkk

kkkkk, relaxa, acontece.

Olha, estou ficando sem opções, o Firewall tem conectividade com os 2 hosts, o pacote está sendo entregue na interface de destino mas não chega no laptop.
Mas, ao mesmo tempo, o ping feito pelo firewall chega no destino.

Verificamos regras de firewall (parcialmente pois não vi todas), mostrando que a regra com "gateway default" está acima da regra de firewall da Internet, que tem o gateway como gateway group, oq significa que o problema não é a policy route.

Você confirmou que o default gateway dos dispositivos está correto, o que é necessário para comunicação com outras redes, que é o caso agora.

O firewall é o default gateway das duas redes, oq mostra que não tem um outro roteador por trás o que poderia indicar um problema de roteamento no pfsense.

Você ainda não confirmou se tem alguma rota estática criada no firewall ?
Embora não tem mais pq checar isso, já que o pfsense está roteando o pacote para a interface LAN358 corretamente mas não chega no laptop...

fcostars

@mcury veja que curioso

o laptop esta com ip 172.20.129.144 na lan
o meu pc esta com ip 192.168.200.191 na lan358

se eu pingar atraves do firewall o ip 172.20.129.144 saindo pela lan358 ele responde, mas do meu pc não.

mas se eu pingar através do firewall o meu ip 192.168.200.191 saindo pela lan ele não responde.