PFSENSE+LAN+DMZ+VLAN
-
Boa tarde galera,
Meu cenário:
3 links WAN
1 LAN - VLAN 1 default (Todos os switches)
1 DMZ - VLAN 20Switch Core Cisco SG300-28
Problema
Preciso liberar o acesso LAN na DMZ
Fazer os NAT da WAN para DMZObs.: Alguns hosts membros da DMZ vão ficar no cascateamento do switch core, no caso 3com 2226 baseline
Dúvida
Nas configurações do switch core
A porta do switch que liga no PFSENSE tem que ficar como? Trunk, Access, General? Tagged ou Untagged?
A interface da DMZ que está na VLAN 20, tem que fazer alguma configuração para que ela esteje nas duas VLAN's tanto a default como a dela (20)?Desde já agradeço a atenção.
-
A porta do pfsense pode ficar em trunk ou com as duas vlans tagged.
-
As duas Vlans (1,20) estão na mesma interface física do pfsense?
-
Não, estão em interfaces diferentes…
O PFSENSE está em cima do vmware, no vmware eu criei 5 interfaces 3 links wan na mesma interface, 1 lan e 1 dmz... lan e dmz vão direto para o switch core, lan (Vlan default 1) e dmz (Vlan 20).
-
Neste caso crie os virtual switches pelo vmare mesmo e entregue as interface sem vlan para o pfsense.
-
Se entendi bem, você tem dois cabos saindo do pfsense para seu switch core (LAN e DMZ), é isso? Nesse caso…
Switch core:
- Configure a porta que está conectado o cabo do pfsense DMZ como: VLAN ID: 20 - TAGGET
- Se você tiver algum PC/SERVER conectado nesse switch core, configure sua respectiva porta como: VLAN ID: 20 - UNTAGGET
- Do swicth core para outro switch: configure a porta como VLAN ID: 20 - TAGGET (mesma configuração no switch que vai receber essa conexão)
- No switch em cascata, configure as portas que terão computadores da DMZ: VLAN ID: 20 - UNTAGGET
Observações:
- A placa física deve suportar vlans;
- No vmware configure a interface que você criou com suporte a vlan (Não lembro bem onde faz isso, mas acredito que nas propriedades de cada interface você encontre essa opção, acho que é um dropbox com duas opções: none e ALL(4096)).
-
Ok, valeu pela ajuda…
Irei fazer os testes e ver como fica.
Outra coisa para liberar por exemplo - as maquinas da lan acessar via rdp as maquinas da dmz.
Basta apenas criar a rule que libere esse tipo de conexao na interface lan com destino a dmz. correto? visto que o firewall conhece as duas teria que funcionar normalmente.
-
Basta apenas criar a rule que libere esse tipo de conexao na interface lan com destino a dmz. correto?
Sim.
-
Dackson,
Fiz os primeiros teste
Switch core vlan 20 T, com uma estação no mesmo switch com vlan 20 U - não funciona
Só funciona se os dois estiverem T, ou se os dois estiverem U.
-
Só funciona se os dois estiverem T, ou se os dois estiverem U.
O equipamento que terá mais de uma vlan configurada, fica com a porta no switch em modo trunk ou com todas as vlans que for usar como TAG
A estação que fará parte da vlan x ou y somente fica com a porta no switch configurada na vlan correta com porta UNTAG.
Os equipamentos ligados em portas com TAG ou TRUNK precisam estar configurados para usar as vlans X, Y ou Z
Equipamentos em portas UNTAG não precisam de configuração extra.