Roteamento entre duas lans no mesmo pfsense
-
@mcury respondendo a sua pergunta do edit
Edit: você alterou a captura e também alterou de onde você fez o ping ?
Olhei a captura de novo e me parece que você alterou a captura e pingou de outro local ?eu fiz um ping de uma rede a outra e vice-versa em nenhum caso pingou.
fiz o download do pacote e abri no wireshark.
-
@fcostars said in Roteamento entre duas lans no mesmo pfsense:
eu fiz um ping de uma rede a outra e vice-versa em nenhum caso pingou.
A intenção era ver se o pacote entrava por uma interface e saia pela outra, em direção a impressora.
Preciso que você faça uma captura, na interface LAN358, usando o IP da impressora, ok ?
O ping precisa vir da LAN.Quero saber se o pacote está saindo pela interface LAN358 corretamente, em direção a impressora.
-
@mcury Desculpa eu não entendi!
em Capture option coloco a lan358 em host ip address coloco o ip da impressora ?
isso é na mesma rede, a impressora esta na lan358.
é isso? -
Eu estou tentando entender se o firewall está entregando o pacote para a LAN358, certo ?
Para isso, faremos uma captura na interface de destino, conforme imagem abaixo.
Abra também o wireshark no laptop, e coloque icmp no campo de pesquisa do Wireshark, e confirme se o ping chega lá também.
Você tem alguma rota estática criada no firewall ?
-
@mcury Entendido!
Segue o print:
abaixo o print do donwload da captura feita pelo pfsense que abri no meu pc pelo wireshark
-
@fcostars Ok, então o firewall está entregando o pacote para a interface correta.
Em relação a baixar a captura e abrir pelo Wireshark, não há necessidade de fazer isso nesse momento.No entanto, vamos usar o Wireshark nesse laptop, é só abrir ele, selecionar a interface que tem o IP 172.20.129.144, e digita no campo de filtro do Wireshark, icmp, ou ip.addr == 192.168.200.191
Ah, e depois de abrir o wireshark no laptop, colocar os filtros e apertar ENTER, repita o teste de ping.
Observação: Vai precisar apagar o NAT que criamos anteriormente, ok ?
Se não a captura não vai pegar nada quando você filtrar pelo IP 192.168.200.191 -
@mcury Desculpe a demora estava instalando o wireshark no note!
infelizmente nao aparece nada referente a lan358
-
@fcostars ok, então identificamos que o firewall está entregando o pacote para a interface correta, mas não chega no laptop.
Eu solicitei antes que tentasse pingar o laptop a partir do firewall, mas pelo que vejo na imagem que está lá em cima em outro post, é que você acabou pingando o IP errado, pode tentar de novo ?
Acho que você tentou pingar um dispositivo na rede 192.168.100 ao invés de 192.168.200. -
@mcury mas que burro da zero pra ele kkkk
sim responde do firewall
-
@fcostars said in Roteamento entre duas lans no mesmo pfsense:
mas que burro da zero pra ele kkkk
kkkkk, relaxa, acontece.
Olha, estou ficando sem opções, o Firewall tem conectividade com os 2 hosts, o pacote está sendo entregue na interface de destino mas não chega no laptop.
Mas, ao mesmo tempo, o ping feito pelo firewall chega no destino.Verificamos regras de firewall (parcialmente pois não vi todas), mostrando que a regra com "gateway default" está acima da regra de firewall da Internet, que tem o gateway como gateway group, oq significa que o problema não é a policy route.
Você confirmou que o default gateway dos dispositivos está correto, o que é necessário para comunicação com outras redes, que é o caso agora.
O firewall é o default gateway das duas redes, oq mostra que não tem um outro roteador por trás o que poderia indicar um problema de roteamento no pfsense.
Você ainda não confirmou se tem alguma rota estática criada no firewall ?
Embora não tem mais pq checar isso, já que o pfsense está roteando o pacote para a interface LAN358 corretamente mas não chega no laptop... -
@mcury veja que curioso
o laptop esta com ip 172.20.129.144 na lan
o meu pc esta com ip 192.168.200.191 na lan358se eu pingar atraves do firewall o ip 172.20.129.144 saindo pela lan358 ele responde, mas do meu pc não.
mas se eu pingar através do firewall o meu ip 192.168.200.191 saindo pela lan ele não responde.
-
@fcostars pode ser o firewall do WIndows bloqueando.. cria uma regra lá permitindo icmp da outra rede e refaz esse teste pfv ?
-
@mcury esta tudo desabilitado os firewalls das maquinas.. peguei uma aki do lado para testar pingar na minha e responde de boas...
pois é complicado né?
em relação as rotas estáticas tenho duas que são referente ao ipsec somente.
em relação aos gateways de saída eu uso gateway group de failover - não é default.
se puderes e tiveres um tempo para ajudar podemos conversar via whats ai posso disponibilizar um acesso para que consiga ver melhor
-
@fcostars podemos mais tarde, eu to ajudando e trabalhando ao mesmo tempo resolvendo outro problema aqui e no intervalo venho aqui e posto alguma coisa.. Mas se der prefiro por aqui pois já estou cheio de coisas pra fazer, oq é até bom de certa forma né..
em relação a essas rotas do IPsec, então você não está usando o modo túnel, e sim o VTI, pois caso contrário não precisaria dessas rotas..
De qualquer forma, o firewall está entregando para a LAN358, então não me parece realmente rota.. -
@mcury nos gatways eu tenho uma regra que aponta que tudo q vier da lan sai por ela, pois temos um tunnel ipsec com um cliente e essa configuração faz com que essa lan consulte o dns do cliente através do tunel.
acredito que isso não interfira.
-
@fcostars deve ser isso.. pode desabilitar por um segundo ?
normalmente não é necessário mexer nos gateways para ter essa comunicação DNS, tem outras formas de fazer isso.
-
@mcury ele não deixa desabilitar pois esta em uso nas rotas estáticas, se eu derrubar pode parar todo um setor ai nao da.
-
@fcostars said in Roteamento entre duas lans no mesmo pfsense:
@mcury ele não deixa desabilitar pois esta em uso nas rotas estáticas, se eu derrubar pode parar todo um setor ai nao da.
Caso queira um redirecionamento para o domínio, você pode incluir um domain override no DNS Resolver (unbound), dessa maneira:
onde tudo que for para o domínio home.arpa, use o DNS 192.168.255.250.
Ai você alteraria o domínio, e o servidor DNS para o servidor que está do outro lado do túnel.Dessa forma, os usuários da LAN usariam o DNS do pfsense para tudo, mas caso seja algo para o domínio home.arpa por exemplo, o pfsense encaminharia a solicitação DNS para o servidor escolhido.