CP+Radius y problema con rutas estaticas
-
Buenas, ya publique este problema hace tiempo pero en el foro en Ingles (no me fije que habia en español… :D)
http://forum.pfsense.org/index.php/topic,9195.msg53400.html
El caso resumido es k tengo varios routers y cada uno va a una red diferente y kiero k el pfsense me haga de filtro, portal, enrutador, etc. pero si activo el portal no funcionan las rutas estaticas, si lo desactivo va todo al pelo. A alguien mas le ha pasado? alguna solucion?
De momento para solventar esto lo k hago es usar el pfsense solo para la salida a internet, y las demas redes las gestiono con rutas estaticas en los PCs, cosa k no mola nada, ya que a pesar de tenerlas persistentes a algunos equipos se les van y como los usuarios no son administradores pues me toca ir a ponerselas cada cierto tiempo, un rollo.
Bueno espero k alguien sepa la solucion a esto. Gracias!!!!
-
¡Hola!
Por alguna parte de la documentación dice que no se deben hacer rutas estáticas entre las subredes de pfSense. Según tu esquema:
10.100.0.1 (Internet) 10.100.0.2 (ISP VPN VoIP) 10.100.0.3 (ISP VPN) 10.100.0.4 (ISP VPN)
| | | |
| | | |
–-----------------------------------|------------------------------------
|
10.100.0.254
pfSense
10.1.3.254
|
|
LAN 10.1.0.0/16creo que tienes que quitar las rutas estáticas en pfSense (y en los equipos) y establecer reglas en LAN donde diga que si el destino es tal rango se salga por la correspondiente gateway (10.100.0.1, 10.100.0.2, 10.100.0.3, 10.100.0.4).
Saludos,
Josep Pujadas
-
Gracias!!! lo probaré y veré que tal resulta
Saludos
-
Hola de nuevo.
He intentado probar eso y tengo una duda: Cuando te refieres a reglas ¿es en el cortafuegos? porque alli solo me deja elegir el gateway por defecto, de hecho salen dos opciones: Default, que usa las tablas de enrutamiento (logico), o el enrutador por defecto de la wan,no me deja poner el k yo kiera. La unica forma de que me funcione es estableciendo rutas estaticas (que es como deberia hacerse, para eso actua de enrutador ¿no?), y el caso es que funciona perfectamente, solo que al activar el Captive Portal se va todo a la mierda…. no entiendo porque, y parece que ellos tampoco porque me dejaron con la duda a mitad de resolucion :(
Las rutas estaticas que hago son para que se pueda acceder a redes fuera de mi instalacion, que tienen como gateways los routers cuyas direcciones ips son las que apunto en el esquema, si no es imposible que pfsense, o los equipos, sepan como acceder a ellas. Lo de que no deben hacerse rutas estaticas entre subredes de pfsense entiendo que se refiere a subredes a las que pfsense tiene acceso fisicamente, por estar conectadas a alguna interfaz suya.. ¿me equivoco? ???
Me fastidia porque lo tengo todo montado de puta madre y me encanta este programa y la opcion que mas necesito, que es el CP, lo jode todo, y creo que voy a tener que cambiar de solucion, seguramente sacrificando ventajas que tiene pfsense :(
Lo raro es que funciona la VPN, que seguro usa tambien las tablas de enrutamiento, y sin embargo lo otro no va... :'(
No veo logico que por activar el CP dejen de funcionar cosas a mas bajo nivel como las rutas...
Bueno imagino k sera algun bug, aun asi si se t ocurre algo pues t lo agradecere enormemente.
Gracias por tu ayuda.
-
¡Hola!
porque alli solo me deja elegir el gateway por defecto, de hecho salen dos opciones: Default, que usa las tablas de enrutamiento (logico), o el enrutador por defecto de la wan,no me deja poner el k yo kiera.
Tienes razón. Sólo deja poner default i la gateway que hayas puesto a WAN.
Se me ocurren dos soluciones, ninguna de ellas ideal:
1. Hacer lo que te dije, poniendo la gateway por defecto de la WAN en las reglas del lado LAN de pfSense. Guardar config.xml y editarlo, cambiando la IP de la gateway por las distintas IPs que tienes. Volver a cargar config.xml. Creo que tendría que funcionar. La pega es que cada vez que edites reglas el invento se irá al garete y tendrás que volver a hacer lo maniobra del config.xml.
2. Poner otro pfSense por delante del que tienes que sólo se ocupe del portal cautivo.
Saludos,
Josep Pujadas
-
Buenas, gracias por responder.
La opcion de poner otro pfsense era la que estaba barajando… bueno ya vere que hago, y lo expondre por aqui.
Gracias por tu ayuda!!!!