Comunicação de duas redes de mascaras diferente em mesmo ambiente.

mcury

@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

@mcury, eu fiz exatamente isso, na LAN2 eu criei uma regra de destino para a LAN1 como demonstro na imagem acima, quando eu modifico a rede da LAN2 para /24 funciona tudo, tanto o acesso as pastas compartilhadas como o Ping, sobre os FW do Windows em meus servidores está liberado esse acesso da rede LAN2, tanto que na mudança da mascara da rede ele já funciona prontamente.

os IPs válidos dessa /20 são de 192.168.0.1 até 192.168.15.254
o DHCP está entregando /20 para as máquinas certinho ?

fabianodsp

@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

@mcury, eu fiz exatamente isso, na LAN2 eu criei uma regra de destino para a LAN1 como demonstro na imagem acima, quando eu modifico a rede da LAN2 para /24 funciona tudo, tanto o acesso as pastas compartilhadas como o Ping, sobre os FW do Windows em meus servidores está liberado esse acesso da rede LAN2, tanto que na mudança da máscara da rede ele já funciona prontamente.

os IPs válidos dessa /20 são de 192.168.0.1 até 192.168.15.254
o DHCP está entregando /20 para as máquinas certinho?

Sim, no DHCP eu coloco para disponibilizar do IP 192.168.2.1 até 192.168.15.254 pois a faixa de 192.168.0.1 até 192.168.2.254 eu vou reservar para um sistema de câmeras que tenho aqui e para conectar alguns Access Point.

mcury

@fabianodsp pode mostrar as configurações da interface do pfsense, do DHCP e do equipamento que recebe o IP (ipconfig) ?

fabianodsp

@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

@fabianodsp pode mostrar as configurações da interface do pfsense, do DHCP e do equipamento que recebe o IP (ipconfig) ?

Bom dia, claro que sim.

Aqui é a placa de rede que vou usar o DHCP na rede Wifi 192.168.0.0/20

Aqui os parâmetros do DHCP

Agora os parâmetros da placa de rede de um notebook que uso para teste.

mcury

@fabianodsp cara, tá certinho, o que me chamou atenção foi o DNS que você está usando o 10.23.0.2 e não o gateway. Mas isso não vai ser um problema se o alias "compartilhamento" tiver a porta 53 nele.

Você pode fazer uma captura de pacote ?
Deixa a máscara em /20 mesmo, abre o pfSense, pela GUI, Diagnostics -> Packet capture

Aí põe seleciona a WIFI, e em destination IP, põe o IP que você está tentando acessar na LAN.
Protocolo põe TCP e destination port põe 445 (assumindo que você está usando o SMB).

Ai simula um acesso e retorna aqui pra gente entender melhor oq está acontecendo.

fabianodsp

@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

@fabianodsp cara, tá certinho, o que me chamou atenção foi o DNS que você está usando o 10.23.0.2 e não o gateway. Mas isso não vai ser um problema se o alias "compartilhamento" tiver a porta 53 nele.

Você pode fazer uma captura de pacote ?
Deixa a máscara em /20 mesmo, abre o pfSense, pela GUI, Diagnostics -> Packet capture

Aí põe seleciona a WIFI, e em destination IP, põe o IP que você está tentando acessar na LAN.
Protocolo põe TCP e destination port põe 445 (assumindo que você está usando o SMB).

Ai simula um acesso e retorna aqui pra gente entender melhor oq está acontecendo.

No aliases de compartilhamento eu deixo as portas 137, 138, 139 e a 445, porém eu posso adicionar a 53, o que eu acho estranho é que seu eu colocar essa rede na máscara /24 e sem mudar as regras passa a funcionar tudo, tanto o acesso as pastas dos servidores, como o Ping.

Segue as capturas, essa eu fiz como vc descreveu.

Essa deixei a captura de pacotes para todas as portas só com o IP de destino.

mcury

@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

No aliases de compartilhamento eu deixo as portas 137, 138, 139 e a 445, porém eu posso adicionar a 53, o que eu acho estranho é que seu eu colocar essa rede na máscara /24 e sem mudar as regras passa a funcionar tudo, tanto o acesso as pastas dos servidores, como o Ping.

Como você está usando o DNS na outra rede, precisa permitir a 53 tb.
Se não estiver usando AD, pode deixar o campo DNS em branco no DHCP, que o pfsense vai entregar o IP da interface dele onde tem o Unbound (DNS Resolver) escutando.

A captura foi feita na interface de destino, certo ? Onde o host 10.23.0.2 reside, certo ?
Caso sim, podemos ver que o firewall está entregando o pacote para o destino e o mesmo não responde as solicitações.

mcury

Pode ser que o host 10.23.0.2 esteja sem gateway configurado (acho improvável pois não teria internet e também a comunicação quando em /24, tb não funcionaria).
Pode ser que o firewall do OS do 10.23.0.2 esteja permitindo apenas 192.168.0.0/24 e não 192.168.0.0/20.

fabianodsp

@mcury

@mcury said in Comunicação de duas redes de máscaras diferente em mesmo ambiente.:

Pode ser que o host 10.23.0.2 esteja sem gateway configurado (acho improvável pois não teria internet e também a comunicação quando em /24, tb não funcionaria).
Pode ser que o firewall do OS do 10.23.0.2 esteja permitindo apenas 192.168.0.0/24 e não 192.168.0.0/20.

O host 10.23.0.2 tem gateway sim, eu o utilizo ele como o DNS em toda minha rede e no firewall do Windows desse host já tá liberado o ping e o acesso a pastas e impressora.

Uma coisa que percebi é que se eu usar o ping do pfSense saindo da rede 192.168.0.0/20 ele funciona normalmente para o destino da rede 10.23.0.0/24.

mcury

@fabianodsp Nesse último ping, altera o endereço de origem para a LAN e confirme se o host responde.

1- Verifique o firewall nesse servidor 10.23.0.2 (Windows defender ou qualquer outro que você por ventura possa ter instalado). Imagino que exista uma regra que permita o 192.168.0.0/24 de acessar mas não a rede 192.168.0.0/20
2- Caso o item 1 esteja OK, verifique através do comando route print ou netstat -rn, se tem alguma rota para a rede 192.168.0.0. Não deve existir rotas para essa rede uma vez que o servidor 10..23.0.2 tem gateway e vai usar a rota default para devolver o pacote.

fabianodsp

@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

No aliases de compartilhamento eu deixo as portas 137, 138, 139 e a 445, porém eu posso adicionar a 53, o que eu acho estranho é que seu eu colocar essa rede na máscara /24 e sem mudar as regras passa a funcionar tudo, tanto o acesso as pastas dos servidores, como o Ping.

Como você está usando o DNS na outra rede, precisa permitir a 53 tb.
Se não estiver usando AD, pode deixar o campo DNS em branco no DHCP, que o pfsense vai entregar o IP da interface dele onde tem o Unbound (DNS Resolver) escutando.

A captura foi feita na interface de destino, certo ? Onde o host 10.23.0.2 reside, certo ?
Caso sim, podemos ver que o firewall está entregando o pacote para o destino e o mesmo não responde as solicitações.

Liberei a porta 53 naquele aliases porém não deu certo e antes eu tinha capturado a saída da placa de rede da LAN2(Wi-Fi) mas agora eu fiz na LAN1 10.23.0.0

mcury

@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

Liberei a porta 53 naquele aliases porém não deu certo

Só faltou olhar o firewall do sistema em questão, pela captura anterior, o firewall está entregando o pacote para o servidor e o mesmo está dropando.

fabianodsp

@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

@fabianodsp Nesse último ping, altera o endereço de origem para a LAN e confirme se o host responde.

1- Verifique o firewall nesse servidor 10.23.0.2 (Windows defender ou qualquer outro que você por ventura possa ter instalado). Imagino que exista uma regra que permita o 192.168.0.0/24 de acessar mas não a rede 192.168.0.0/20
2- Caso o item 1 esteja OK, verifique através do comando route print ou netstat -rn, se tem alguma rota para a rede 192.168.0.0. Não deve existir rotas para essa rede uma vez que o servidor 10..23.0.2 tem gateway e vai usar a rota default para devolver o pacote.

1- No firewall do Windows não encontrei uma opção que permita liberar a rede /20 mas lá existe uma regra que libera qualquer ping para ele e para acessar pastas compartilhadas e impressoras.

2- Esse servidor é o meu AD e DHCP, será que preciso cirar essa rota dentro do escopo dele? Segue a tabela de roteamento.

mcury

@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

1- No firewall do Windows não encontrei uma opção que permita liberar a rede /20 mas lá existe uma regra que libera qualquer ping para ele e para acessar pastas compartilhadas e impressoras.

Se já está permitido, o servidor deveria responder.

2- Esse servidor é o meu AD e DHCP, será que preciso cirar essa rota dentro do escopo dele? Segue a tabela de roteamento.

A tabela de roteamento está correta, sem rota específica, ele vai devolver para o gateway 10.23.0.4 que é o correto.
Notei que está usando o Hyper-V, já verificou se o problema não é com ele ?

fabianodsp

@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

A tabela de roteamento está correta, sem rota específica, ele vai devolver para o gateway 10.23.0.4 que é o correto.
Notei que está usando o Hyper-V, já verificou se o problema não é com ele ?

Eu tenho um servidor que não tá no Hyper-V e mesmo assim não funciona nada nem o Ping nem a pasta compartilhada, negócio tá estranho demais

mcury

@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

Eu tenho um servidor que não tá no Hyper-V e mesmo assim não funciona nada nem o Ping nem a pasta compartilhada, negócio tá estranho demais

está sim.. rsrs

Tenta instalar o wireshark em um PC nessa rede 10.23.0.0, e põe no filtro: icmp

Depois tenta pingar de qualquer PC na rede 192.168.0.0/20 para confirmar que de fato, o firewall está entregando o pacote para a rede 10.23.0.0

fabianodsp

@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

Eu tenho um servidor que não tá no Hyper-V e mesmo assim não funciona nada nem o Ping nem a pasta compartilhada, negócio tá estranho demais

está sim.. rsrs

Tenta instalar o wireshark em um PC nessa rede 10.23.0.0, e põe no filtro: icmp

Depois tenta pingar de qualquer PC na rede 192.168.0.0/20 para confirmar que de fato, o firewall está entregando o pacote para a rede 10.23.0.0

Eu tenho wireshark na minha maquina que faz parte da rede 10.23.0.0, segue o print

mcury

@fabianodsp Bem, não vemos a resposta do ping (echo reply) saindo da máquina 10.23.0.2 de volta para o host 192.168.2.5.

Isso confirma que o firewall (pfsense) está sim entregando o pacote vindo do host 192.168.2.5 para o 10.23.0.2 e que não há resposta.

fabianodsp

O que to achando é que de fato a rede do 10.23.0.0 está rejeitando a resposta, por enquanto vou resolver outros problemas aqui no trabalho e deixar esse problema em standby, muito obrigado pela @mcury, sou muito grato. Até mais.