Comunicação entre VLANS

guilherme_182

Estou comecando a implantar o PFsense, mas estou com um problema relacionado VLANS:
MInha rede esta assim atualmente:

WAN - 10.1.6.97
LAN (Desativada)
VLAN106 - 192.168.106.1/24
VLAN108 - 192.168.108.1/24

DHCP esta ativo nas duas VLANS

Configurei no Switch da seguinte maneira:
TAG - Porta que conecta na LAN do Pfsense
UNTAG - Portas que vão nos hosts com VLAN

Ja fiz liberação nas regras das VLANS permitindo o trafego.

Quando eu tento fazer um ping de uma maquina da VLAN 108 para o 192.168.106.1 e responde.
Mas se eu tento fazer para um host da VLAN106 não responde.

Se alguem puder me dar uma ajuda, fico agradecido.

interfaces.png_thumb

regra-vlan106.png_thumb

regra-vlan108.png_thumb

sw.png_thumb

marcelloc

@guilherme_182:

VLAN106 - 192.168.106.1/24
VLAN108 - 192.168.106.1/24

Digitou errado ou as duas redes estão na mesma faixa?

guilherme_182

@marcelloc:

@guilherme_182:

VLAN106 - 192.168.106.1/24
VLAN108 - 192.168.106.1/24

Digitou errado ou as duas redes estão na mesma faixa?

Digitei errado, é assim:
192.168.106.1
192.168.108.1

cristiano.santos

Só uma dúvida, a placa de rede LAN está desativada, vc está colocando a tagg na vlan para sair pela LAN ou você instalou fisicamente 2 placas adicionais no seu servidor?

guilherme_182

@cristiano.santos:

Só uma dúvida, a placa de rede LAN está desativada, vc está colocando a tagg na vlan para sair pela LAN ou você instalou fisicamente 2 placas adicionais no seu servidor?

Esta desativada a interface somente, isso passo a tagg das vlans para sair pela lan.
DHCP, Proxy, Captive Portal estão funcionando normalmente nas duas VLANS.

marcelloc

Monitora via tcpdump esse ping da VLAN106 para a VLAN108 com duas consoles, uma ouvindo em cada vlan.

Dessa forma você consegue ver até onde o pacote está indo.

guilherme_182

@marcelloc:

Monitora via tcpdump esse ping da VLAN106 para a VLAN108 com duas consoles, uma ouvindo em cada vlan.

Dessa forma você consegue ver até onde o pacote está indo.

Fiz o teste que você pediu, pinguei de um host da VLAN108 para outro host da VLAN106.
Fiz outro teste também, pingando do host da VLAN108 para o gateway da VLAN106, ele responde mas no monitoramento pelo tcpdump da interface 106 não aparece nada.

ping-host108-para-gateway106.png_thumb

ping-host108-para-host106.png_thumb

marcelloc

o segundo dump deveria ter mostrado os pacotes nas duas telas uma vez que o ping retornou.

Aparentemente, o pacote icmp da 108 para a 106 não está chegando na VLAN106 pelo firewall.

guilherme_182

@marcelloc:

o segundo dump deveria ter mostrado os pacotes nas duas telas uma vez que o ping retornou.

Aparentemente, o pacote icmp da 108 para a 106 não está chegando na VLAN106 pelo firewall.

Boa Tarde
Pode estar se perdendo no Switch? ou algo assim?

A rede esta assim:

PFSENSE
|
Switch (IP 192.168.106.110)
VLAN106 –-----------VLAN108

Algum outro teste que eu possa fazer?

marcelloc

@guilherme_182:

@marcelloc:

o segundo dump deveria ter mostrado os pacotes nas duas telas uma vez que o ping retornou.

Aparentemente, o pacote icmp da 108 para a 106 não está chegando na VLAN106 pelo firewall.

Boa Tarde
Pode estar se perdendo no Switch? ou algo assim?

A rede esta assim:

PFSENSE
|
Switch (IP 192.168.106.110)
VLAN106 –-----------VLAN108

Algum outro teste que eu possa fazer?

Deixa as vlans sem ip no switch para o pfSense ser de fato o gateway das redes.

guilherme_182

@marcelloc:

@guilherme_182:

@marcelloc:

o segundo dump deveria ter mostrado os pacotes nas duas telas uma vez que o ping retornou.

Aparentemente, o pacote icmp da 108 para a 106 não está chegando na VLAN106 pelo firewall.

Boa Tarde
Pode estar se perdendo no Switch? ou algo assim?

A rede esta assim:

PFSENSE
|
Switch (IP 192.168.106.110)
VLAN106 –-----------VLAN108

Algum outro teste que eu possa fazer?

Deixa as vlans sem ip no switch para o pfSense ser de fato o gateway das redes.

Boa tarde

Como estou em ambiente de testes, fiz a reinstalação do pfsense.
Após configurar o ambiente do 0 consegui os acessos entre as vlans.

guilherme_182

Descobri o que a comunicação entre as VLANS para de funcionar quando eu ativo o captive portal nas duas interfaces.
Estou usando o captive portal para fazer a autenticação do proxy.
Alguém tem alguma ideia de como consigo resolver esse erro?

marcelloc

@guilherme_182 said in Comunicação entre VLANS:

Descobri o que a comunicação entre as VLANS para de funcionar quando eu ativo o captive portal nas duas interfaces.
Estou usando o captive portal para fazer a autenticação do proxy.
Alguém tem alguma ideia de como consigo resolver esse erro?

Configure no captive portal o bypass para redes internas.

guilherme_182

@marcelloc said in Comunicação entre VLANS:

@guilherme_182 said in Comunicação entre VLANS:

Descobri o que a comunicação entre as VLANS para de funcionar quando eu ativo o captive portal nas duas interfaces.
Estou usando o captive portal para fazer a autenticação do proxy.
Alguém tem alguma ideia de como consigo resolver esse erro?

Configure no captive portal o bypass para redes internas.

Eu achei as opções de bypass, fiz para os servidores e tirei eles do proxy.
Mas eu precisaria de comunicação entre outras duas VLANs.
VLAN106 e VLAN108
Se eu deixo elas no bypass, elas conseguem se comunicar, mas a navegação não funciona, pois a autenticação do proxy é pelo captive portal.
Ja tentei as configurações de Bypass "TO" "FROM", mas não deu certo.

marcelloc

Coloque as redes de destino em cada um dos captive_portal que configurou, mantendo a direção como TO

guilherme_182

Coloquei como "TO" as duas VLANs, consigo comunicação entre elas, mas elas não navegam na internet.
Uso o captive portal como autenticação do proxy.