Comunicação de duas redes de mascaras diferente em mesmo ambiente.

fabianodsp

@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

@fabianodsp cara, tá certinho, o que me chamou atenção foi o DNS que você está usando o 10.23.0.2 e não o gateway. Mas isso não vai ser um problema se o alias "compartilhamento" tiver a porta 53 nele.

Você pode fazer uma captura de pacote ?
Deixa a máscara em /20 mesmo, abre o pfSense, pela GUI, Diagnostics -> Packet capture

Aí põe seleciona a WIFI, e em destination IP, põe o IP que você está tentando acessar na LAN.
Protocolo põe TCP e destination port põe 445 (assumindo que você está usando o SMB).

Ai simula um acesso e retorna aqui pra gente entender melhor oq está acontecendo.

No aliases de compartilhamento eu deixo as portas 137, 138, 139 e a 445, porém eu posso adicionar a 53, o que eu acho estranho é que seu eu colocar essa rede na máscara /24 e sem mudar as regras passa a funcionar tudo, tanto o acesso as pastas dos servidores, como o Ping.

Segue as capturas, essa eu fiz como vc descreveu.

Essa deixei a captura de pacotes para todas as portas só com o IP de destino.

mcury

@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

No aliases de compartilhamento eu deixo as portas 137, 138, 139 e a 445, porém eu posso adicionar a 53, o que eu acho estranho é que seu eu colocar essa rede na máscara /24 e sem mudar as regras passa a funcionar tudo, tanto o acesso as pastas dos servidores, como o Ping.

Como você está usando o DNS na outra rede, precisa permitir a 53 tb.
Se não estiver usando AD, pode deixar o campo DNS em branco no DHCP, que o pfsense vai entregar o IP da interface dele onde tem o Unbound (DNS Resolver) escutando.

A captura foi feita na interface de destino, certo ? Onde o host 10.23.0.2 reside, certo ?
Caso sim, podemos ver que o firewall está entregando o pacote para o destino e o mesmo não responde as solicitações.

mcury

Pode ser que o host 10.23.0.2 esteja sem gateway configurado (acho improvável pois não teria internet e também a comunicação quando em /24, tb não funcionaria).
Pode ser que o firewall do OS do 10.23.0.2 esteja permitindo apenas 192.168.0.0/24 e não 192.168.0.0/20.

fabianodsp

@mcury

@mcury said in Comunicação de duas redes de máscaras diferente em mesmo ambiente.:

Pode ser que o host 10.23.0.2 esteja sem gateway configurado (acho improvável pois não teria internet e também a comunicação quando em /24, tb não funcionaria).
Pode ser que o firewall do OS do 10.23.0.2 esteja permitindo apenas 192.168.0.0/24 e não 192.168.0.0/20.

O host 10.23.0.2 tem gateway sim, eu o utilizo ele como o DNS em toda minha rede e no firewall do Windows desse host já tá liberado o ping e o acesso a pastas e impressora.

Uma coisa que percebi é que se eu usar o ping do pfSense saindo da rede 192.168.0.0/20 ele funciona normalmente para o destino da rede 10.23.0.0/24.

mcury

@fabianodsp Nesse último ping, altera o endereço de origem para a LAN e confirme se o host responde.

1- Verifique o firewall nesse servidor 10.23.0.2 (Windows defender ou qualquer outro que você por ventura possa ter instalado). Imagino que exista uma regra que permita o 192.168.0.0/24 de acessar mas não a rede 192.168.0.0/20
2- Caso o item 1 esteja OK, verifique através do comando route print ou netstat -rn, se tem alguma rota para a rede 192.168.0.0. Não deve existir rotas para essa rede uma vez que o servidor 10..23.0.2 tem gateway e vai usar a rota default para devolver o pacote.

fabianodsp

@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

No aliases de compartilhamento eu deixo as portas 137, 138, 139 e a 445, porém eu posso adicionar a 53, o que eu acho estranho é que seu eu colocar essa rede na máscara /24 e sem mudar as regras passa a funcionar tudo, tanto o acesso as pastas dos servidores, como o Ping.

Como você está usando o DNS na outra rede, precisa permitir a 53 tb.
Se não estiver usando AD, pode deixar o campo DNS em branco no DHCP, que o pfsense vai entregar o IP da interface dele onde tem o Unbound (DNS Resolver) escutando.

A captura foi feita na interface de destino, certo ? Onde o host 10.23.0.2 reside, certo ?
Caso sim, podemos ver que o firewall está entregando o pacote para o destino e o mesmo não responde as solicitações.

Liberei a porta 53 naquele aliases porém não deu certo e antes eu tinha capturado a saída da placa de rede da LAN2(Wi-Fi) mas agora eu fiz na LAN1 10.23.0.0

mcury

@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

Liberei a porta 53 naquele aliases porém não deu certo

Só faltou olhar o firewall do sistema em questão, pela captura anterior, o firewall está entregando o pacote para o servidor e o mesmo está dropando.

fabianodsp

@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

@fabianodsp Nesse último ping, altera o endereço de origem para a LAN e confirme se o host responde.

1- Verifique o firewall nesse servidor 10.23.0.2 (Windows defender ou qualquer outro que você por ventura possa ter instalado). Imagino que exista uma regra que permita o 192.168.0.0/24 de acessar mas não a rede 192.168.0.0/20
2- Caso o item 1 esteja OK, verifique através do comando route print ou netstat -rn, se tem alguma rota para a rede 192.168.0.0. Não deve existir rotas para essa rede uma vez que o servidor 10..23.0.2 tem gateway e vai usar a rota default para devolver o pacote.

1- No firewall do Windows não encontrei uma opção que permita liberar a rede /20 mas lá existe uma regra que libera qualquer ping para ele e para acessar pastas compartilhadas e impressoras.

2- Esse servidor é o meu AD e DHCP, será que preciso cirar essa rota dentro do escopo dele? Segue a tabela de roteamento.

mcury

@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

1- No firewall do Windows não encontrei uma opção que permita liberar a rede /20 mas lá existe uma regra que libera qualquer ping para ele e para acessar pastas compartilhadas e impressoras.

Se já está permitido, o servidor deveria responder.

2- Esse servidor é o meu AD e DHCP, será que preciso cirar essa rota dentro do escopo dele? Segue a tabela de roteamento.

A tabela de roteamento está correta, sem rota específica, ele vai devolver para o gateway 10.23.0.4 que é o correto.
Notei que está usando o Hyper-V, já verificou se o problema não é com ele ?

fabianodsp

@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

A tabela de roteamento está correta, sem rota específica, ele vai devolver para o gateway 10.23.0.4 que é o correto.
Notei que está usando o Hyper-V, já verificou se o problema não é com ele ?

Eu tenho um servidor que não tá no Hyper-V e mesmo assim não funciona nada nem o Ping nem a pasta compartilhada, negócio tá estranho demais

mcury

@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

Eu tenho um servidor que não tá no Hyper-V e mesmo assim não funciona nada nem o Ping nem a pasta compartilhada, negócio tá estranho demais

está sim.. rsrs

Tenta instalar o wireshark em um PC nessa rede 10.23.0.0, e põe no filtro: icmp

Depois tenta pingar de qualquer PC na rede 192.168.0.0/20 para confirmar que de fato, o firewall está entregando o pacote para a rede 10.23.0.0

fabianodsp

@mcury said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

@fabianodsp said in Comunicação de duas redes de mascaras diferente em mesmo ambiente.:

Eu tenho um servidor que não tá no Hyper-V e mesmo assim não funciona nada nem o Ping nem a pasta compartilhada, negócio tá estranho demais

está sim.. rsrs

Tenta instalar o wireshark em um PC nessa rede 10.23.0.0, e põe no filtro: icmp

Depois tenta pingar de qualquer PC na rede 192.168.0.0/20 para confirmar que de fato, o firewall está entregando o pacote para a rede 10.23.0.0

Eu tenho wireshark na minha maquina que faz parte da rede 10.23.0.0, segue o print

mcury

@fabianodsp Bem, não vemos a resposta do ping (echo reply) saindo da máquina 10.23.0.2 de volta para o host 192.168.2.5.

Isso confirma que o firewall (pfsense) está sim entregando o pacote vindo do host 192.168.2.5 para o 10.23.0.2 e que não há resposta.

fabianodsp

O que to achando é que de fato a rede do 10.23.0.0 está rejeitando a resposta, por enquanto vou resolver outros problemas aqui no trabalho e deixar esse problema em standby, muito obrigado pela @mcury, sou muito grato. Até mais.