Problema con LAN pfsense 2.0 RC1

flosx · May 23, 2011, 1:08 PM

Hola buen día,

Junto con agradecer a los que han respondido mis dudas, les quería comentar de algo raro que me sucede con la versión 2.0 RC1 64bit.

En la interfaz LAN 192.168.0.0/24 tengo 4 reglas que le dan acceso a 4 alias a Internet, solamente eso.
Ademas de 1 OPT1 con una LAN2 192.168.10.0/24 , estas dos lan tienen visibilidad entre ambas (ambas van al mismo sw)

Tengo 20 maquinas conectadas a un SW todo funciona bien, pero de pronto la mayoría de esas maquinas pierde conexión con la red, no me permite hacer ping a la interfaz LAN y no tengo acceso a nada.

He configurado PFsense desde 0 en 2 ocasiones, he cambiado las interfaces de tarjetas de red fisicas y el problema continua.

Lo raro es que de principio todo funciona bien, LAN, WAN, ETC, Dns Forwarders, VPN.

Ya estoy creyendo que puede ser un problema de maquina o de las tarjetas de red, por lo que cambiare de maquina y tarjeta, pero creo que sería bueno saber saber que es lo que sucede.

También para complementar, una vez que sucede este problema he apagado el pfsense, he desconectado los cables a la interface, y luego lo enciendo y nada de nada.
Las reglas para la visibilidad de la Lan y Lan2 son las mismas que use en el pfsense 1.2.3, con lo cual no tengo problemas.
Probé desactivando estas reglas y nada.

La verdad he probado de todo y sigue con el problema.

alguna idea.

saludos y gracias

RUALBERT · May 23, 2011, 1:42 PM

actualiza desde desboard ala RC2. Saludos.

flosx · May 23, 2011, 2:20 PM

Tambien probe con esa version.
Es mas esta es la segunda vez que pruebo y comencé desde 0.

ahí están las imágenes de las reglas

saludos y gracias

loliva · May 23, 2011, 3:36 PM

Verificaste tu hardware? tarjetas? swicht? modo de operacion? si reinstalaste y has configurado varias veces el equipo con pfsense deberias ver el hardware (swichts, cables, etc) y ver si funciona 100%.

Saludos

LOG

flosx · May 23, 2011, 4:18 PM

Así es, ya creo que es hardware… lo revisaré y probaré en otra maquina y les cuento.

gracias

saludos

loliva · May 23, 2011, 4:31 PM

Pero no solamente revisar tu hw de equipo, revisa tb tu equipamiento, y cables de red. ;)

flosx · May 23, 2011, 8:00 PM

S…i revise todo eso, es más tengo un pfsense que esta trabajando, y no tengo ningun problema con él, cuando tuve el problema tuve que volver al antiguo y funciona sin problemas.

Por lo tanto me quedan las tarjetas de Red o la maquina.

Ahora no sé que tan estable sea la version pfsense 2.0 RC2

saludos y gracias.

flosx · May 24, 2011, 2:24 AM

Estimados…

Después de darle vuelta al asunto revisar hardware, etc. y simular una lan en vmware workstation hice el siguiente experimento.

Como todos sabemos la interface LAN tiene una regla por default que es el acceso desde source: LAN net a destination: *

Bien, resumiendo esta regla la quité para solo dar acceso a internet a ciertos hosts definidos por alias, el problema que todos los otros host no agregados a los alias, por defecto ni siquiera podían hacer ping al firewall(pfsense 192.168.1.1), en conclusión pienso que a ningún servicio ni puerto por ejemplo para resolución de nombres, No asi para otros host que están en la misma LAN, esto se debe a que los SW tienen la tabla de mac la cual permite la comunicación entre ellos.

En resumen agregue la siguiente regla:

Como source: LAN subnet como Destination: LAN subnet.

Arriba de esta todos los alias con acceso a la internet.

Con esto me dio resultado, lo raro que en la version anterior de pfsense, no tenia que agregar una regla para esto, ya que están en la misma lan.

Esto en la version de pfsense 2.0 RC1. Ahora actualizaré a RC2 y haré las mismas pruebas.

saludos
y gracias nuevamente

flosx · May 24, 2011, 3:01 AM

Estimados amigos:

He actualizado a pfsense RC2, realicé las pruebas y de igual forma que RC1 obtengo los mismos resultados.

Hice pruebas sencillas.

primero ping 192.168.1.1 interface LAN pfsense
Tiempo de espera agotado

luego

ping firewall.domincio.cl
tiempo de espera agotado

A todo esto en mi red, probe RC1 y fue un desastre los servicios web, etc. No trabajaban y los que trabajaban mas lento que la dividir con numeros binarios a pulso. jejejej

Alguien que pueda orientar o que tenga alguna idea, no descarto estar equivocado no llevo mucho tiempo en este tema.

saludos y gracias por su tiempo

flosx

loliva · May 24, 2011, 3:28 AM

Haber descarta, tienes otro equipo con ip 192.168.1.1? tus reglas de firewall, tienes la default? puede que si hayas quitado la default y quitaste todo, no hara ping.

Revisa y me avisas

Saludos

LOG

flosx · May 24, 2011, 3:41 AM

No, no tengo otra ip 192.168.1.1

La regla default la quité con el fin de definir los alias que solo tienen acceso a internet, este procedimiento lo hice en la version pfsense 1.2.3 y no tuve estos inconvenientes. Es mas estoy funcionando con esa version ahora en mi Red y sin la regla default.

Y no solo el ping no lo hace si no que no me resulve los nombres, no me deja ocupar los servicios web y los otros servicios que se pueden accesar muy lentos.

Como comentaba antes, pfsense RC1 lo implemente en producción y fue un caos, luego me cree una red con vmware e hice las mismas pruebas y me sucedió lo mismo.

saludos y gracias por tu tiempo :)

flosx

bellera · May 24, 2011, 8:45 AM

Algo raro debes tener en tu red…

He visto caer más de un cortafuegos (y no sólo pfSense) por un simple cable de red puesto en dos bocas de un mismo switch.

Segmenta cosas y testea paso a paso, no quieras hacer todo de una sola vez.

dementekuatiko · May 24, 2011, 12:02 PM

el switch es administrable administrable revisa que no tengas un look por dos cables en el mismo switch. lo otro a mi me paso que por un problema de voltaje un switch se me pegaba no podian verse las maquinas que estaban conectada en ese switch y perdia completamente la conexion de red.

flosx · May 24, 2011, 2:51 PM

@bellera:

Algo raro debes tener en tu red…

He visto caer más de un cortafuegos (y no sólo pfSense) por un simple cable de red puesto en dos bocas de un mismo switch.

Segmenta cosas y testea paso a paso, no quieras hacer todo de una sola vez.

Gracias por responder, pero como explicas primero: que el pfsense actual funcione sin inconvenientes.
Segundo: las pruebas que hice en un ambiente virtual sucedio lo mismo.

bellera · May 24, 2011, 3:52 PM

En la interfaz LAN 192.168.0.0/24 tengo 4 reglas que le dan acceso a 4 alias a Internet, solamente eso.
Ademas de 1 OPT1 con una LAN2 192.168.10.0/24 , estas dos lan tienen visibilidad entre ambas (ambas van al mismo sw)

LAN y OPT1 no deben estar en el mismo switch a menos que emplees VLANs. ¿Qué sentido tiene esto? La tabla ARP de tu switch es quien manda en tu instalación:

http://es.wikipedia.org/wiki/VLAN
http://es.wikipedia.org/wiki/Address_Resolution_Protocol

La regla de LAN2 tampoco tiene demasiado sentido… ¿Autorizar acceso sólo a interfase de LAN?

Revisa tu topología. Estás con un enrutador. Son tramos distintos, separados y comunicables entre sí por ruteo automático, siempre que la reglas lo autoricen.

flosx · May 27, 2011, 2:28 AM

Bellera, junto con saludar es conveniente cerrar este Hilo, como te contaba, agregue esa regla que estoy 100% de acuerdo contigo no tiene sentido, pero sin esa regla nada anda en mi red, ni en la virtualizacion que hice para probar.

Estoy en produccion con 2.0 RC1, y funcionando de 10, pero con esa regla que menciono.

saludos

Orlando Rozas I.