[Resolvido] Regra liberando forward entre 2 placas do PfSense

jwestarb

Boa Noite,

Hoje tenho um Firewall com linux, onde tem uma WAN, uma LAN e uma placa ligada a um roteador de um link MPLS com filiais.
Esta funcionando.

Mas quero trocar esta firewall da matriz por um Pfsense.

Fiz o diagrama em anexo para exemplificar o cenário.

Tenho uma placa OPT1 no pfsense ligando ao roteador do link MPLS.
Mas não estou conseguindo criar uma regra para permitir o trafego da rede da filial com a rede LAN da Matriz.

Adicionei a rota para rede da filial no pfsense, e criei regras liberando o trafego na interface OPT1, colocando Source=LAN NET e Dest=Rede da fiilal
e outra regra como Dest=LAN NET e Source=Rede Filial
Mas não funcionou.

Como devo configurar o pfsense para permitir comunicação do computador da filial com uma servidor na minha LAN?

Grato,

Julio

![Diagrama Firewall.png](/public/imported_attachments/1/Diagrama Firewall.png)
![Diagrama Firewall.png_thumb](/public/imported_attachments/1/Diagrama Firewall.png_thumb)

marcelloc

Boa Noite Julio,

Primeiro é claro bem vindo ao pfSense. :)

O diagrama facilitou muito o entendimento.

O pfSense trata as regras onde a comunicação é iniciada, portanto, na OPT1 coloque regras onde a origem é a rede que esta chegando pela opt1(rede filial) e nas regras da lan todas as regras inciada por ips na lan net.

Por padrão, o nat do pfsense vem no modo automático. Para você conseguir simplesmente rotear os pacotes entre uma rede e outra, você precisa passar o nat para manual(firewall -> nat -> outbond) e criar as regras apenas para os pacotes que vão sair pela wan por exemplo.

Acredito que com essas duas modificações, você já tenha um ambiente funcional.

Vale sempre a dica de habilitar o ssh, logar na console e acompanhar o trafego via tcpdump. Como você já tem experiência com linux, não deve encontrar dificuldades.

att,
Marcello Coutinho

jwestarb

Bom Dia Marcelo,

Obrigado pelo retorno.

Então se eu fizer uma regra na OPT1, conforme o print em anexo, os computadores da filial já devem conseguir acessar o servidor da matriz?
Ou devo fazer uma regra na interface LAN, com Source=LAN NET e Dest=172.20.0.0/16 ?

Quanto ao NAT, essa alteração para manual, serve apenas para os port forward que eu fizer a minha WAN para um IP na LAN certo?
Ele não influencia a comunicação entra as redes Filial(OPT1) e Matriz(LAN) né?

Att,
Julio

regra.png_thumb

marcelloc

Você não precisa se preocupar com a regra "de retorno", o keep state do firewall já resolve isso pra você.

Quando você passar o nat para manual, vai ver que ele inclui automaticamente uma regra para wan.
Se você não desabilitar o nat entre as redes internas, os pacotes sempre chegarão com o ip do outro firewall e não da rede da matriz ou filial.

jwestarb

Boa Noite Marcelo,

Só para agradecer, esta funcionando 100%.

Estou gostando muito do PfSense.

Att,

Julio