Multi-WAN con Multi-Lan

zeroking

Efectivamente las reglas están limpias, y con esa ruta no alcanzo un ping ni a 192.168.2.1 (q es pfsense de LAN2), y no obstante e intentado tb entrar a alguna web directamente y tampoco :(

festuc

Has comprobado que efectivamente con un ordenador en la red wan2 puedes ver internet verdad?

zeroking

algo extraño pasa, porq con esa regla q especifico más arriba, no puedo salir a internet en LAN2, ni hacer ping a 192.168.2.1, pero SI a equipos de la red 192.168.2.XXX, no obstante, si edito WAN1, y le pongo los datos de WAN2, efectivamente, puedo salir a internet (con los datos del ADSL2), osea q doy por exo que no tiene que ver con la conexion router ADSL/pfsense.

Os resumo como lo tenog montado en lo q hardware se refiere, una máquina, con 4 tarjetas de red… 1 para las WAN, con VLAN montadas para WAN2 y 3, y tres tarjetas de red, conectadas a un SW, que son LAN1, 2 y 3 (estas son tarjetas y no VLAN por mejorar el tráfico en la red (se trata d eun SW con enlates de 1000mbps, con enlaces de fibra y demás.

festuc

El pfsense hace cosas raras con los ping no los uses
yo desde mi red no puedo hacer ping a la ip que tiene en lan2 pero si que le puedo hacer ping a la ip de lan.
Las vlan me han dado problemas tambien :(
Comprueva la documentacion
mismos nombres, mismos canales…

Suerte!

zeroking

pero igualmente, es lo q te comento, aunq no hace ping, tampoco tiene salida a internet por LAN2 si selecciono el gateway de ADSL2, sin embargo, lo dejo por defecto, apra q piye el ADSL1, y sin problemas

vpadro

Aclaremos algo:
tu WAN esta conectada directamente a un switch y esta configurada como VLAN cierto?
suponiendo que la respuesta es si, tu WAN1 y WAN2 estan tambien conectadas a el switch y estan configuradas como VLAN tambien, ejemplo:

WAN - VLAN10
WAN1 - VLAN20
WAN2 - VLAN30

alguna de tus WANs tiene salida al exterior?  esto es sin tener puesta alguna regla en la LAN1 o LAN2.
checaste que esten en la misma subred que tus modems/enlaces dedicados?
ejemplo:

WAN - VLAN10 - 192.169.1.1/24
WAN1 - VLAN20 - 192.168.2.1/30
WAN2 - VALN30 - 192.168.3.1/33

si todo esta correcto, tienes que crear las reglas en cada LAN de esta forma:

LAN
Proto  Source  Port  Destination  Port    Gateway    Schedule  Description
*          LAN Subnet      *          *                  *    192.168.1.1

LAN1
Proto  Source  Port  Destination  Port    Gateway    Schedule  Description
*          LAN1 Subnet      *          *                  *    192.168.2.1

LAN2
Proto  Source  Port  Destination  Port    Gateway    Schedule  Description
*          LAN2 Subnet      *          *                  *    192.168.3.1

y algo que se me habia pasado es que tienes que configurar el archivo de configuracion manualmente para que puedas agregarle los DNSes de cada WAN que tienes porque si no no te resuelve(obvio, no? :)) excepto el de la WAN, recuerda hacer un respaldo antes de modificar ese archivo.

No es tan dificil lo que quieres hacer, si con nada de lo que se te recomienda funciona, pues trata de rectificar la configuracion basica/avanzada de pfSense varias veces porque algo estas haciendo mal desde ahi.

Saludos.

zeroking

en q fichero se hace lo de las DNSs?

a ver te resumo un poquillo el montag, adsl's le entran por SW, a una tarjeta, esta con dos vlan, osea

física–> wan1 --> 192.168.10.2 --> router adsl 192.168.10.1 (con DMZ a 10.2)
vlan1--> wan2 --> 192.168.20.2 --> router adsl 192.168.10.1 (con DMZ a 20.2)
vlan2--> wan3 --> 192.168.30.2 --> router adsl 192.168.10.1 (con DMZ a 30.2)

fisicaLAN --> lan1 --> 192.168.1.1
fisicaLAN --> lan2 --> 192.168.2.1      Estas a un SW a parte.
fisicaLAN --> lan3 --> 192.168.3.1

El DNS q tenog puesto en la máquina es uno propio de fiar (un server ajeno a todo esto) pero en las opciones web, no en ningun fichero.

Bien, ahora las reglas, tengo la q especifico arriba, lan2 subnet con GW a WAN2, y esa red, ni tiene salida a internet, ni ping a 192.168.2.1, pero si a maquinas de la red, por ejemplo 192.168.2.14.

Otra regla en LAN1, con GW por defecto, y otra más en LAN3, con GW por defecto tb, y estas dos redes, tienen ping a CUALQUIER maquina de cualquier red, y salida a internet sin problemas.

Y estando así, como indico el problema es que no tengo salida en LAN2 por WAN2 :(... alguna idea más que aportar?

vpadro

no entendi muy bien, tendras tu configuracion de esta manera?
ejemplo:
conectas el cable ethernet de la WAN al puerto del switch 10, despues conectas el cable ethernet de la WAN1 al puerto del switch 11, despues conectas el cable ethernet de la WAN2 al puerto del switch 12, creas la VLAN1 y VLAN2 en el switch las asignas a los puertos 11 y 12 taggeas o trunkeas a el puerto 1 con las VLANs y solo conectas el cable ethernet del pfsense al puerto 1 del switch?

si es asi esta mal…necesitas tener tres VLANs que no sea la VLAN1 que es la que usa el switch para su configuracion interna, te recomiendo que uses las VLANs de esta manera:

VLAN10 - WAN - puerto 10, trunking o tagging al puerto 1
VLAN20 - WAN1 - puerto 11, trunking o tagging al puerto 1
VLAN30 - WAN2 - puerto 12, trunking o tagging al puerto 1

conectas el cable ethernet del puerto 1 del switch a la interface WAN de pfsense, creas las VLANs, reinicias, asignas las interfaces y creas las reglas, asi de sencillo.

zeroking

oks probaré mñn y te comento a ver que tal ha ido ;)

no obstante el tema d las vlan y demás es porq en si luego esa boca irá a un conversor de medios para pasarlo a fibra, pues estará en otra planta y los adsl están en el subsuelo.

vpadro

si tienes la situacion de la fibra usa mejor una interface dedicada a ello y una de las VLANs que configures la destinas a esa LAN.

se me paso, para editar la configuracion del pfsense lo haces desde el menu diagnostics>backup/restore descargas el archivo haces una copia localmente despues lo editas con Wordpad o con cualquier editor de textos.

zeroking

nada, lo mismo, algo se me escapa o no lo logro entender… puede deberse a q adsl2, lo tengo configurado como 192.168.20.1 y la red LAN2, 192.168.2.1?

no debería ser este el problema :S, puesto que en ADSL1, tengo 192.168.10.1 y LAN1 192.168.1.1, y funciona correctamente.

vpadro

ya verificaste que las IPs y subredes sean distintas de cada interface?
ya modificaste el archivo con los DNS de cada acceso a internet, como te lo habia comentado?

trata de poner unas pantallas de la configuracion de las VLANs, reglas, configuracion de las interfaces y de la configuracion basica.

bellera

¡Hola!

No termino de entender qué es esto:

física–> wan1 --> 192.168.10.2 --> router adsl 192.168.10.1 (con DMZ a 10.2)
vlan1--> wan2 --> 192.168.20.2 --> router adsl 192.168.10.1 (con DMZ a 20.2)
vlan2--> wan3 --> 192.168.30.2 --> router adsl 192.168.10.1 (con DMZ a 30.2)[/quote

3 WAN en rangos distintos (correcto) pero ¿un sólo router ADSL y en el primer rango?

Hay una casilla que dice "Block Private Networks" en las interfases ... Igual es esto ... aunque sigo sin entender el escenario.

Saludos,

Josep Pujadas

vpadro

Tienes totalmente la razon Josep, la casilla de Block private networks en la WAN debe de estar desmarcada.

A mi tambien no me suena eso del WAN, le hice la recomendacion de que las tres WANs fueran VLANs, porque si no la confusion que se da en pfSense es grande!

Saludos.

zeroking

ouch… lo siento me equivoq un poco en lo q os puse mas arriba

física--> wan1 --> 192.168.10.2 --> router adsl 192.168.10.1 (con DMZ a 10.2)
vlan1--> wan2 --> 192.168.20.2 --> router adsl 192.168.20.1 (con DMZ a 20.2)
vlan2--> wan3 --> 192.168.30.2 --> router adsl 192.168.30.1 (con DMZ a 30.2)

a ver a lo q me refiero con los router, es q esa IP q indico *.1 es la del modem/router adsl, al cual le añado reglas para tener DMZ en las ip *.2, q es la q tiene de entrada cada WAN del PFSENSE... lo entendeis mejor ahora? o lo explico mejor con un "cutre-esquema"?

gracias por vuestra ayuda de verdad.

vpadro

Mira yo entiendo muy bien como lo quieres hacer, sin embargo lo que no comprendo es como obtienes comunicacion entre tu WAN y tu pfsense sin usar una VLAN, tecnicamente no puedes si tienes el dhcp habilitado(no se si sea tu caso), por lo menos no he podido yo hacer que haya comunicacion.

Saludos.

zeroking

no te entiendo del todo :S… como DHCP??? no tengo DHCP en ningun WAN, solo en las LAN, concretamente en LAN1. LAN2 y 3 son con IP estáticas

vpadro

Me refiero a como es que puedes ponerle una IP estatica o obtener una IP dinamica sin uso de una VLAN en tu WAN y tener comunicacion con pfsense…
ya desactivaste la casilla de block private networks dentro de la WAN?
te pedi hace unos posts si podias poner algunas pantallas para poder ver si hay algo raro en tu configuracion.

bellera

@zeroking:

ouch… lo siento me equivoq un poco en lo q os puse mas arriba

física--> wan1 --> 192.168.10.2 --> router adsl 192.168.10.1 (con DMZ a 10.2)
vlan1--> wan2 --> 192.168.20.2 --> router adsl 192.168.20.1 (con DMZ a 20.2)
vlan2--> wan3 --> 192.168.30.2 --> router adsl 192.168.30.1 (con DMZ a 30.2)

a ver a lo q me refiero con los router, es q esa IP q indico *.1 es la del modem/router adsl, al cual le añado reglas para tener DMZ en las ip *.2, q es la q tiene de entrada cada WAN del PFSENSE... lo entendeis mejor ahora? o lo explico mejor con un "cutre-esquema"?

gracias por vuestra ayuda de verdad.

¡Hola!

Esto sí lo veo claro …

Si no funciona o hay un problema de reglas o un problema con el soporte VLAN. No todas las placas son 100% VLAN compatibles.

¿Puedes indicar qué tipo de placa tienes en WAN?

Usa dmesg o pciconf desde la consola para ver concretamente qué placa tienes y miramos si el soporte para VLAN es al 100%.

Por otra parte no sé qué quieres hacer exactamente. Se me ocurre que igual no necesitas 3 IPs distintas en WAN y te valen 3 IPs en el router (en el mismo rango que WAN):

Ejemplo:

WAN –> 192.168.10.4
router adsl 192.168.10.1
router adsl 192.168.10.2
router adsl 192.168.10.3

También podrías probar la configuración de tu router desde un ordenador en lugar de emplear pfSense, a ver si todo lo que quieres es correcto. Igual tienes algo incorrecto en el router.

Bueno, se trata de descartar cosas ...

Saludos,

Josep Pujadas

vpadro

Por otra parte no sé qué quieres hacer exactamente. Se me ocurre que igual no necesitas 3 IPs distintas en WAN y te valen 3 IPs en el router (en el mismo rango que WAN):

Ejemplo:

WAN –> 192.168.10.4
router adsl 192.168.10.1
router adsl 192.168.10.2
router adsl 192.168.10.3

Si quieres hacer balanceo de carga necesitas tener diferentes puertas de enlace:

WAN - 192.168.10.1
WAN1 - 192.168.20.1
WAN2 - 192.168.30.1