Comunicação de duas redes de mascaras diferente em mesmo ambiente.
-
@fabianodsp pode mostrar as configurações da interface do pfsense, do DHCP e do equipamento que recebe o IP (ipconfig) ?
-
@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:
@fabianodsp pode mostrar as configurações da interface do pfsense, do DHCP e do equipamento que recebe o IP (ipconfig) ?
Bom dia, claro que sim.
Aqui é a placa de rede que vou usar o DHCP na rede Wifi 192.168.0.0/20
Aqui os parâmetros do DHCP
Agora os parâmetros da placa de rede de um notebook que uso para teste.
-
@fabianodsp cara, tá certinho, o que me chamou atenção foi o DNS que você está usando o 10.23.0.2 e não o gateway. Mas isso não vai ser um problema se o alias "compartilhamento" tiver a porta 53 nele.
Você pode fazer uma captura de pacote ?
Deixa a máscara em /20 mesmo, abre o pfSense, pela GUI, Diagnostics -> Packet captureAí põe seleciona a WIFI, e em destination IP, põe o IP que você está tentando acessar na LAN.
Protocolo põe TCP e destination port põe 445 (assumindo que você está usando o SMB).Ai simula um acesso e retorna aqui pra gente entender melhor oq está acontecendo.
-
@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:
@fabianodsp cara, tá certinho, o que me chamou atenção foi o DNS que você está usando o 10.23.0.2 e não o gateway. Mas isso não vai ser um problema se o alias "compartilhamento" tiver a porta 53 nele.
Você pode fazer uma captura de pacote ?
Deixa a máscara em /20 mesmo, abre o pfSense, pela GUI, Diagnostics -> Packet captureAí põe seleciona a WIFI, e em destination IP, põe o IP que você está tentando acessar na LAN.
Protocolo põe TCP e destination port põe 445 (assumindo que você está usando o SMB).Ai simula um acesso e retorna aqui pra gente entender melhor oq está acontecendo.
No aliases de compartilhamento eu deixo as portas 137, 138, 139 e a 445, porém eu posso adicionar a 53, o que eu acho estranho é que seu eu colocar essa rede na máscara /24 e sem mudar as regras passa a funcionar tudo, tanto o acesso as pastas dos servidores, como o Ping.
Segue as capturas, essa eu fiz como vc descreveu.
Essa deixei a captura de pacotes para todas as portas só com o IP de destino.
-
@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:
No aliases de compartilhamento eu deixo as portas 137, 138, 139 e a 445, porém eu posso adicionar a 53, o que eu acho estranho é que seu eu colocar essa rede na máscara /24 e sem mudar as regras passa a funcionar tudo, tanto o acesso as pastas dos servidores, como o Ping.
Como você está usando o DNS na outra rede, precisa permitir a 53 tb.
Se não estiver usando AD, pode deixar o campo DNS em branco no DHCP, que o pfsense vai entregar o IP da interface dele onde tem o Unbound (DNS Resolver) escutando.A captura foi feita na interface de destino, certo ? Onde o host 10.23.0.2 reside, certo ?
Caso sim, podemos ver que o firewall está entregando o pacote para o destino e o mesmo não responde as solicitações. -
Pode ser que o host 10.23.0.2 esteja sem gateway configurado (acho improvável pois não teria internet e também a comunicação quando em /24, tb não funcionaria).
Pode ser que o firewall do OS do 10.23.0.2 esteja permitindo apenas 192.168.0.0/24 e não 192.168.0.0/20. -
@mcury said in Comunicação de duas redes de máscaras diferente em mesmo ambiente.:
Pode ser que o host 10.23.0.2 esteja sem gateway configurado (acho improvável pois não teria internet e também a comunicação quando em /24, tb não funcionaria).
Pode ser que o firewall do OS do 10.23.0.2 esteja permitindo apenas 192.168.0.0/24 e não 192.168.0.0/20.O host 10.23.0.2 tem gateway sim, eu o utilizo ele como o DNS em toda minha rede e no firewall do Windows desse host já tá liberado o ping e o acesso a pastas e impressora.
Uma coisa que percebi é que se eu usar o ping do pfSense saindo da rede 192.168.0.0/20 ele funciona normalmente para o destino da rede 10.23.0.0/24.
-
@fabianodsp Nesse último ping, altera o endereço de origem para a LAN e confirme se o host responde.
1- Verifique o firewall nesse servidor 10.23.0.2 (Windows defender ou qualquer outro que você por ventura possa ter instalado). Imagino que exista uma regra que permita o 192.168.0.0/24 de acessar mas não a rede 192.168.0.0/20
2- Caso o item 1 esteja OK, verifique através do comando route print ou netstat -rn, se tem alguma rota para a rede 192.168.0.0. Não deve existir rotas para essa rede uma vez que o servidor 10..23.0.2 tem gateway e vai usar a rota default para devolver o pacote. -
@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:
@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:
No aliases de compartilhamento eu deixo as portas 137, 138, 139 e a 445, porém eu posso adicionar a 53, o que eu acho estranho é que seu eu colocar essa rede na máscara /24 e sem mudar as regras passa a funcionar tudo, tanto o acesso as pastas dos servidores, como o Ping.
Como você está usando o DNS na outra rede, precisa permitir a 53 tb.
Se não estiver usando AD, pode deixar o campo DNS em branco no DHCP, que o pfsense vai entregar o IP da interface dele onde tem o Unbound (DNS Resolver) escutando.A captura foi feita na interface de destino, certo ? Onde o host 10.23.0.2 reside, certo ?
Caso sim, podemos ver que o firewall está entregando o pacote para o destino e o mesmo não responde as solicitações.Liberei a porta 53 naquele aliases porém não deu certo e antes eu tinha capturado a saída da placa de rede da LAN2(Wi-Fi) mas agora eu fiz na LAN1 10.23.0.0
-
@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:
Liberei a porta 53 naquele aliases porém não deu certo
Só faltou olhar o firewall do sistema em questão, pela captura anterior, o firewall está entregando o pacote para o servidor e o mesmo está dropando.
-
@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:
@fabianodsp Nesse último ping, altera o endereço de origem para a LAN e confirme se o host responde.
1- Verifique o firewall nesse servidor 10.23.0.2 (Windows defender ou qualquer outro que você por ventura possa ter instalado). Imagino que exista uma regra que permita o 192.168.0.0/24 de acessar mas não a rede 192.168.0.0/20
2- Caso o item 1 esteja OK, verifique através do comando route print ou netstat -rn, se tem alguma rota para a rede 192.168.0.0. Não deve existir rotas para essa rede uma vez que o servidor 10..23.0.2 tem gateway e vai usar a rota default para devolver o pacote.1- No firewall do Windows não encontrei uma opção que permita liberar a rede /20 mas lá existe uma regra que libera qualquer ping para ele e para acessar pastas compartilhadas e impressoras.
2- Esse servidor é o meu AD e DHCP, será que preciso cirar essa rota dentro do escopo dele? Segue a tabela de roteamento.
-
@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:
1- No firewall do Windows não encontrei uma opção que permita liberar a rede /20 mas lá existe uma regra que libera qualquer ping para ele e para acessar pastas compartilhadas e impressoras.
Se já está permitido, o servidor deveria responder.
2- Esse servidor é o meu AD e DHCP, será que preciso cirar essa rota dentro do escopo dele? Segue a tabela de roteamento.
A tabela de roteamento está correta, sem rota específica, ele vai devolver para o gateway 10.23.0.4 que é o correto.
Notei que está usando o Hyper-V, já verificou se o problema não é com ele ? -
@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:
A tabela de roteamento está correta, sem rota específica, ele vai devolver para o gateway 10.23.0.4 que é o correto.
Notei que está usando o Hyper-V, já verificou se o problema não é com ele ?Eu tenho um servidor que não tá no Hyper-V e mesmo assim não funciona nada nem o Ping nem a pasta compartilhada, negócio tá estranho demais
-
@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:
Eu tenho um servidor que não tá no Hyper-V e mesmo assim não funciona nada nem o Ping nem a pasta compartilhada, negócio tá estranho demais
está sim.. rsrs
Tenta instalar o wireshark em um PC nessa rede 10.23.0.0, e põe no filtro: icmp
Depois tenta pingar de qualquer PC na rede 192.168.0.0/20 para confirmar que de fato, o firewall está entregando o pacote para a rede 10.23.0.0
-
@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:
@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:
Eu tenho um servidor que não tá no Hyper-V e mesmo assim não funciona nada nem o Ping nem a pasta compartilhada, negócio tá estranho demais
está sim.. rsrs
Tenta instalar o wireshark em um PC nessa rede 10.23.0.0, e põe no filtro: icmp
Depois tenta pingar de qualquer PC na rede 192.168.0.0/20 para confirmar que de fato, o firewall está entregando o pacote para a rede 10.23.0.0
Eu tenho wireshark na minha maquina que faz parte da rede 10.23.0.0, segue o print
-
@fabianodsp Bem, não vemos a resposta do ping (echo reply) saindo da máquina 10.23.0.2 de volta para o host 192.168.2.5.
Isso confirma que o firewall (pfsense) está sim entregando o pacote vindo do host 192.168.2.5 para o 10.23.0.2 e que não há resposta.
-
O que to achando é que de fato a rede do 10.23.0.0 está rejeitando a resposta, por enquanto vou resolver outros problemas aqui no trabalho e deixar esse problema em standby, muito obrigado pela @mcury, sou muito grato. Até mais.