Duas subnets na mesma interface lan
-
Pessoal,
Sou novo no pfsense e estou apanhando feito cachorro loco. Preciso colocar 192.168.0.1/24 e 10.0.0.1/24 na mesma interface lan. Tentei Virtual IP (Alias) e VLAN criando nova interface mas nenhum funcionou. Criei as regras de firewall necessárias, mas quando consigo pingar não consigo usar como gateway. Alguém pode me ajudar?
Grato.
-
A melhor solução é segmentar a rede usando vlans, mas para isso você precisa de um switch gerenciável que aceite vlans.
O virtual ip pode funcionar, mas você precisa acertar as regras na lan, para permitir 192 e 10.
Lembrando um pouco de posts mais antigos.
Duas faixas de rede no mesmo segmento de rede não é sinônimo de segurança/segmentação, o conceito aplicado está mais para segurança por obscuridade.
att,
Marcello Coutinho -
A melhor solução é segmentar a rede usando vlans, mas para isso você precisa de um switch gerenciável que aceite vlans.
Até tenho, mas é muito pra um problema pequeno.
O virtual ip pode funcionar, mas você precisa acertar as regras na lan, para permitir 192 e 10.
Tá feito. O problema é que o pfsense parece meio chato com os states (palpite). Com duas máquinas na rede, uma pinga e outra não pinga o pfsense. Rebootei o pfsense, agora ambas pingam, mas nenhuma consegue usá-lo como gateway. Ontem, durante testes, ele passou a funcionar como gateway sem motivo aparente, e ao desfazer e refazer a mesma configuração ele para de funcionar como gateway ou sequer pingar. Me refiro à subnet do ip virtual.
Duas faixas de rede no mesmo segmento de rede não é sinônimo de segurança/segmentação, o conceito aplicado está mais para segurança por obscuridade.
Em meu caso o conceito aplicado é o KISS (keep it simple, stupid), mesmo ao custo de broadcasts e ineficiência.
-
Até tenho, mas é muito pra um problema pequeno.
Não é muito… é o necessário (leia-se "ideal") para o seu cenário!
Tá feito. O problema é que o pfsense parece meio chato com os states (palpite). Com duas máquinas na rede, uma pinga e outra não pinga o pfsense. Rebootei o pfsense, agora ambas pingam, mas nenhuma consegue usá-lo como gateway. Ontem, durante testes, ele passou a funcionar como gateway sem motivo aparente, e ao desfazer e refazer a mesma configuração ele para de funcionar como gateway ou sequer pingar. Me refiro à subnet do ip virtual.
Típico problema de travamento/problema de tabela ARP (camada 2). Siga o conselho do marcelloc (VLAN) e evite "Virtual IP" pra redes diferentes numa mesma interface. Simples assim (não tem haver com o pfSense… é conceito de rede de computadores)!
Em meu caso o conceito aplicado é o KISS (keep it simple, stupid), mesmo ao custo de broadcasts e ineficiência.
O "KISS" não é um conceito válido quando o "custo" é inoperância, perda de performance ou ineficiência. Reveja seus conceitos! ;)
Abraços!
Jack -
Siga o conselho do marcelloc (VLAN) e evite "Virtual IP" pra redes diferentes numa mesma interface. Simples assim (não tem haver com o pfSense… é conceito de rede de computadores)!
Em meu caso o conceito aplicado é o KISS (keep it simple, stupid), mesmo ao custo de broadcasts e ineficiência.
O "KISS" não é um conceito válido quando o "custo" é inoperância, perda de performance ou ineficiência. Reveja seus conceitos! ;)
Não precisam ser revistos, concordo que a inoperância invalida o kiss. Entendo obviamente que sua sugestão de VLANs implica em uma interface independente para cada subnet, o que não me é fisicamente possível, é uma máquina de rack sem slot livre pra mais uma nic…. por isto o problema.
-
Entendo obviamente que sua sugestão de VLANs implica em uma interface independente para cada subnet, o que não me é fisicamente possível, é uma máquina de rack sem slot livre pra mais uma nic…. por isto o problema.
Não. Ao contrário.
Você pode criar várias redes virtuais sob a mesma NIC. Esta é a ideia básica de VLAN!
Abraços!
Jack -
Entendo obviamente que sua sugestão de VLANs implica em uma interface independente para cada subnet
Tenho firewalls com quase 20 vlans configuradas em duas placas de rede e em algumas redes, para facilitar o hardware do backup e o de redundância, tenho uma única interface gigabit filtrando as vlans e o acesso a internet.
-
Ate hoje nao entendo pq o pfsense eh complicado com lance do virtual ip
se o freebsd e utm baseado em linux eh facil. (ex. endian)Gustavo
-
Ate hoje nao entendo pq o pfsense eh complicado com lance do virtual ip
se o freebsd e utm baseado em linux eh facil. (ex. endian)Não entendo porque você acha que é complicado o "lance" do Virtual IP? Na verdade é tudo muito simples e fácil!
-
Eu acho que gustavo mencionou sobre os problemas relatados de vários topics.. de criar o Virtual IP
e não navegar. -
Eu acho que gustavo mencionou sobre os problemas relatados de vários topics.. de criar o Virtual IP
e não navegar.Tem que entender o conceito e contexto. Criar Virtual IPs em redes diferentes numa mesma NIC é pedir para ter problema (em qualquer sistema operacional). Alguns sistemas operacionais até tratam melhor eventuais problemas com tabela ARP, por exemplo, mas isso não significa que trata-se de uma tática saudável.
Virtual IPs e VLANs são coisas completamente diferentes e que permitem implementações distintas!
Abraços!
Jack -
mas criar "ip alias" no linux e freebsd puro não tem problema com esse problemas relatados.
O gustavo mencionou o Endian. realmente é fácil.
O uso de VLAN só é compatível até onde eu sei.. com switchs com suporte vlan.. -
mas criar "ip alias" no linux e freebsd puro não tem problema com esse problemas relatados.
O gustavo mencionou o Endian. realmente é fácil.No pfSense também não tem problema (a ação em si). Entretanto, evitem rotear pacotes de redes diferentes sob uma mesma NIC sem o uso de VLAN. Uma coisa é fazer a interface responder por duas ou mais redes, outra é gerenciar tabelas de estados e ARP gigantescas nestas condições.
O uso de VLAN só é compatível até onde eu sei.. com switchs com suporte vlan..
Não é uma obrigatoriedade - Mas altamente aconselhável usar switchs com suporte a VLAN.
Até porque, não consigo imaginar alguém comprando uma switch hoje em dia que não seja gerenciável e não tenha suporte a VLAN.
Mas enfim, não é meu objetivo polemizar este post… Como diria uma velha comendo sabão, "gosto não se descute"! :)
-
Não é uma obrigatoriedade - Mas altamente aconselhável usar switchs com suporte a VLAN.
longe de ser polêmica.. é apenas troca de ideia..
Juro que não não sabia que podia usar o pfsense com vlan mesmo sem o switchs ter suporte, é possível ??
claro que é recomendado comprar switchs gerenciados. porém a grande maioria de empresas, principalmente as pequenas, olha mais para o preço
do que qualidade, o que encontra encore/dlink des-1024 é muito grande, -
longe de ser polêmica.. é apenas troca de ideia..
Claro, claro… falei apenas no sentido de não estender o tópico com redundância de ideias! ;-)
Juro que não não sabia que podia usar o pfsense com vlan mesmo sem o switchs ter suporte, é possível ??
Tecnicamente é possível (embora desaconselhável). O bom é sempre usar as VLANs (tanto na ponta do server quanto da switch) "tagueadas"!
claro que é recomendado comprar switchs gerenciados. porém a grande maioria de empresas, principalmente as pequenas, olha mais para o preço
do que qualidade, o que encontra encore/dlink des-1024 é muito grande,Vixe… mas é importante insistir em não usar "pau velho" nas infras. Quando da compra de equipamentos novos, acho irracional hoje em dia comprar uma switch (para este tipo de cenário) que não tenha suporte a VLAN. A diferença de valores é ínfima (não compensa)...
Abraços!
Jack -
Também sem querer polemizar, vou dizer dos conceitos que aprendi sobre VLAN:
Fora o gargalo numa única porta do switch ainda tem a questão do trunking e tempestade de broadcast (spanning tree). Pode até ser possível, mas não acredito que a rede, para os clientes dessa VLAN, fique disponível por mais do que alguns minutos. O loop de broadcast vai destruir tudo, pelo menos no conceito que aprendi.
Além disso, no próprio livro oficial do pfSense, na pag.175 cap.10.1, consta como requerimento básico Switch e NIC que suportem o protocolo 802.1Q. -
johnnybe++
-
Ate hoje nao entendo pq o pfsense eh complicado com lance do virtual ip
Não é complicado, só não vem com tudo configurado.
Você precisa conferir tudo(nat, regras, aliases, etc) e parar de usar os aliases "lan address, lan subnet, etc etc etc".
Já disse isso a um tempo atrás e repito hoje, Pfsense é firewall para administradores de redes, não para usuários.
Por exemplo: O UTM mencionado, com os módulos gratuitos, na configuração de proxy diz: quer ou não quer usar proxy enquanto o pfsense tem uma infinidade de telas e opções para habilitar o mesmo serviço.
-
Já disse isso a um tempo atrás e repito hoje, Pfsense é firewall para administradores de redes, não para usuários.
Discordo.. para mim firewall para administradores de rede é um freebsd/openbsd feito na mão.. pfsense
é uma UTM como qualquer outra.. o que muda é forma de usar.. tem UTM que é líder de mercado que
existe o mesmo conceito.. -
Migrei meus freebsd para pfSense para ter mais recursos de configuração e facilidade de backup.
O que precisava ter no pfsense que não exista, portei/migrei.
Pelos relatos que vejo aqui no fórum, a quantidade de recursos que o pfSense tem impressiona e assusta um leigo.
Uso por ser uma ferramenta completa e fácil de usar e personalizar.
Mas opinião e gosto é que nem * cada um tem o seu e não se discute. ;)
