Problema con LAN pfsense 2.0 RC1

loliva

Pero no solamente revisar tu hw de equipo, revisa tb tu equipamiento, y cables de red. ;)

flosx

S…i revise todo eso, es más tengo un pfsense que esta trabajando, y no tengo ningun problema con él, cuando tuve el problema tuve que volver al antiguo y funciona sin problemas.

Por lo tanto me quedan las tarjetas de Red o la maquina.

Ahora no sé que tan estable sea la version pfsense 2.0 RC2

saludos y gracias.

flosx

Estimados…

Después de darle vuelta al asunto revisar hardware, etc. y simular una lan en vmware workstation hice el siguiente experimento.

Como todos sabemos la interface LAN tiene una regla por default que es el acceso desde source: LAN net a destination: *

Bien, resumiendo esta regla la quité para solo dar acceso a internet a ciertos hosts definidos por alias, el problema que todos los otros host no agregados a los alias, por defecto ni siquiera podían hacer ping al firewall(pfsense 192.168.1.1), en conclusión pienso que a ningún servicio ni puerto por ejemplo para resolución de nombres, No asi para otros host que están en la misma LAN, esto se debe a que los SW tienen la tabla de mac la cual permite la comunicación entre ellos.

En resumen agregue la siguiente regla:

Como source: LAN subnet como Destination: LAN subnet.

Arriba de esta todos los alias con acceso a la internet.

Con esto me dio resultado, lo raro que en la version anterior de pfsense, no tenia que agregar una regla para esto, ya que están en la misma lan.

Esto en la version de pfsense 2.0 RC1. Ahora actualizaré a RC2 y haré las mismas pruebas.

saludos
y gracias nuevamente

flosx

Estimados amigos:

He actualizado a pfsense RC2, realicé las pruebas y de igual forma que RC1 obtengo los mismos resultados.

Hice pruebas sencillas.

primero ping 192.168.1.1 interface LAN pfsense
Tiempo de espera agotado

luego

ping firewall.domincio.cl
tiempo de espera agotado

A todo esto en mi red, probe RC1 y fue un desastre los servicios web, etc. No trabajaban y los que trabajaban mas lento que la dividir con numeros binarios a pulso. jejejej

Alguien que pueda orientar o que tenga alguna idea, no descarto estar equivocado no llevo mucho tiempo en este tema.

saludos y gracias por su tiempo

flosx

loliva

Haber descarta, tienes otro equipo con ip 192.168.1.1? tus reglas de firewall, tienes la default? puede que si hayas quitado la default y quitaste todo, no hara ping.

Revisa y me avisas

Saludos

LOG

flosx

No, no tengo otra ip 192.168.1.1

La regla default la quité con el fin de definir los alias que solo tienen acceso a internet, este procedimiento lo hice en la version pfsense 1.2.3 y no tuve estos inconvenientes. Es mas estoy funcionando con esa version ahora en mi Red y sin la regla default.

Y no solo el ping no lo hace si no que no me resulve los nombres, no me deja ocupar los servicios web y los otros servicios que se pueden accesar muy lentos.

Como comentaba antes, pfsense RC1 lo implemente  en producción y fue un caos, luego me cree una red con vmware e hice las mismas pruebas y me sucedió lo mismo.

saludos y gracias por tu tiempo  :)

flosx

bellera

Algo raro debes tener en tu red…

He visto caer más de un cortafuegos (y no sólo pfSense) por un simple cable de red puesto en dos bocas de un mismo switch.

Segmenta cosas y testea paso a paso, no quieras hacer todo de una sola vez.

dementekuatiko

el switch es administrable administrable revisa que no tengas un look por dos cables en el mismo switch. lo otro a mi me paso que por un problema de voltaje un switch se me pegaba no podian verse las maquinas que estaban conectada en ese switch y perdia completamente la conexion de red.

flosx

@bellera:

Algo raro debes tener en tu red…

He visto caer más de un cortafuegos (y no sólo pfSense) por un simple cable de red puesto en dos bocas de un mismo switch.

Segmenta cosas y testea paso a paso, no quieras hacer todo de una sola vez.

Gracias por responder, pero como explicas primero: que el pfsense actual funcione sin inconvenientes.
Segundo: las pruebas que hice en un ambiente virtual sucedio lo mismo.

bellera

En la interfaz LAN 192.168.0.0/24 tengo 4 reglas que le dan acceso a 4 alias a Internet, solamente eso.
Ademas de 1 OPT1 con una LAN2 192.168.10.0/24 , estas dos lan tienen visibilidad entre ambas (ambas van al mismo sw)

LAN y OPT1 no deben estar en el mismo switch a menos que emplees VLANs. ¿Qué sentido tiene esto? La tabla ARP de tu switch es quien manda en tu instalación:

http://es.wikipedia.org/wiki/VLAN
http://es.wikipedia.org/wiki/Address_Resolution_Protocol

La regla de LAN2 tampoco tiene demasiado sentido… ¿Autorizar acceso sólo a interfase de LAN?

Revisa tu topología. Estás con un enrutador. Son tramos distintos, separados y comunicables entre sí por ruteo automático, siempre que la reglas lo autoricen.

flosx

Bellera, junto con saludar es conveniente cerrar este Hilo, como te contaba, agregue esa regla que estoy 100% de acuerdo contigo no tiene sentido, pero sin esa regla nada anda en mi red, ni en la virtualizacion que hice para probar.

Estoy en produccion con 2.0 RC1, y funcionando de 10, pero con esa regla que menciono.

saludos

Orlando Rozas I.