Vlans + pfsense + rota padrão
-
Olá colegas,
já esquentei muito a cabeça com isso, e gostaria de ler alguns comentários a respeito desta dúvida.
Tenho em uma rede 6 Vlans, sendo gerenciados por Switchs Layer 3.
No Switch da borda eu configurei as interfaces de todas as VLANs, e o endereço do servidor DHCP.
Os endereços da interface de cada Vlan são os seguintes:
Vlan10 - 172.17.0.10
Vlan20 - 172.18.0.10
Vlan30 - 172.19.0.10
Vlan40 - 172.20.0.10
Vlan50 - 172.21.0.10
Vlan60 - 172.22.0.10Eu liguei um cabo tronco no pfsense e configurei todas as VLANS, atribuindo os endereços do pfsense dessa maneira:
Vlan10 em re1- 172.17.0.1
Vlan20 em re1- 172.18.0.1
Vlan30 em re1- 172.19.0.1
Vlan40 em re1- 172.20.0.1
Vlan50 em re1- 172.21.0.1
Vlan60 em re1- 172.22.0.1Para ter acesso a internet, eu configurei uma rota padrão no switch de borda, e coloquei o próximo hop para 172.17.0.1.
Pergunto: A configuração do próximo hop da minha rota padrão está correta? Deveria ser mesmo para a VLAN10 que está rodando no pfsense?
Detalhe: Todas as VLAN funcionam na internet, porém não consigo bloquear o roteamento entre VLAN e também não consigo vloquear nenhum site. Alguém pode me dar uma luz?
-
Pandrey, bem vindo ao forum :)
Nesta configuração, não habilite o roteamento no switch e defina em cada escopo do DHCP o ip correspondente do pfSense como gateway.
-
Deixa eu ver se entendi:
Devo tirar as configurações de interfaces que coloquei no switch de borda, a rota padrão, e colocar na configuração dos hosts o gateway correspondente ao ip de cada VLAN que esta configurado no pfsense?
Mas o gateway das VLANS do pfsense são os endereços das interfaces que estão configuradas no Switch de borda. Deu pra entender? O que devo fazer entao?
-
Se quiser filtrar o tráfego entre as VLANs sim. Caso contrario deixe o switch roteando as redes e configure o pfSense só na VLAN de saída/gerência/servidores.
-
Pretendo filtrar o tráfego entre VLANs sim.
Porém, como eu configuro cada vlan no pfsense para servir de como gateways de cada VLAN?
-
Depende de cada fabricante de switch mas basicamente não configurar IP na VLAN já é suficiente.
-
Não entendi…
seguinte:
Imaginemos que eu tenha removido o roteamento no Switch (removi todas as interfaces criadas).
Quando vou configurar as Vlans no PFSENSE, eu preciso configurar um endereço IP, uma máscara de sub rede, e um gateway. Isso para cada VLAN.
Pergunta 1:
Qual é o endereço que devo colocar no gateway, na hora de configurar cada interface vlan no pfsense?
Pergunta 2:
Nos hosts de cada VLAN, qual é o endereço que devo colocar no gateway? Seria o endereço de cada VLAN do pfsense?
-
No switch, crie as VLANs somente com o id e defina as portas
No pfsense crie as vlans todas com tagged e atribua IP para cada uma delas sem definir gateway
No DHCP crie os escopos definido o IP do pfsense correspondente de cada VLAN como gateway.
Se o DHCP estiver no ad, configure o DHCP relay no pfsense para ele poder encaminhar as requisições -
Ok amigo…
Obrigado pela paciência!
Vou tentar fazer isso hoje e postarei o resultado.
Só mais uma coisa: assim que fizer isso, devo criar uma regra de firewall de cada VLAN liberando tudo para fazer o teste?
-
devo criar uma regra de firewall de cada VLAN liberando tudo para fazer o teste?
Sim, somente a LAN vem com regra padrão, Nas outras interfaces você precisa criar as regras.
-
Olá,
gostaria de informar que não obtive exito.
Eu resetei o switch, configurei as portas com suas devidas vlans e as portas tronco.
Liguei o pfsense na porta tronco, onde passam todas as vlans, mas os computadores das vlans não conseguem pingar para os ips configurados nas vlans do pfsense.
Voltei ao normal criando as interfaces no switch e configurando a rota padrão para a primeira Vlan, ou seja, voltei para a estaca 0.
Não tem nenhuma forma de eu fazer o gerenciamentos das vlans desta forma não?
-
Filtrar o trafego entre as redes não, porque quem esta roteando é o switch e não o pfSense.
Se quiser suporte na configuração do seu switch/ pfSense, me manda uma mensagem em private para acertamos os detalhe$
