[Solucionado] AYUDA con VLAN
-
Postea captura de:
-
Configuración VLANs en el switch
-
Configuración VLANs en pfSense
-
Configuración interfases pfSense
-
Reglas interfases pfSense
Enmascara los datos que puedan ser sensibles, si los hay.
-
-
Lo único que se me ocurre es que el hardware no admita VLAN. El una placa Gigabyte GA-B75N con dos nics, aunque el chip es RTL8111F, que según especificaciones lo soporta, no se me ocurre ninguna otra cosa.
Ayuda por favor. Gracias
-
Postea captura de:
-
Post #1
@ajuser:Buenas tardes, estoy teniendo problemas con las VLAN en el pfsense, lo estoy configurando por primera vez. Está instalado en una máquina con 1 LAN y 1 WAN. Sobre la que hay creadas 4 VLAN en pfsense.
Post #8
Lo único que se me ocurre es que el hardware no admita VLAN.
…...Si las creaste es porque las nic lo soportan,si no puedes crearlas!
pon capturas como te piden. -
Adjunto todas las capturas que me comentas. Pongo el Switch principal y otro conectado a este en el puerto 2. En puertos 2, 22, 23 y 24 están conectados los Switches, y en el puerto 4 el pfsense.
Si lo pongo en TAGGED, no puedo ver desde direccionamiento LAN el pfsense, tengo que ponerlo en UNTAGGED. Como se puede ver también desde direccionamiento LAN, accedo a todas las VLAN, pero cuando cambio a direccionamiento de una de las VLAN, no veo ni a ella misma.
Muchas gracias 09.42.09.jpg)
 09.42.09.jpg_thumb)
 08.40.21.jpg)
 08.40.21.jpg_thumb)
 09.41.03.jpg)
 09.41.03.jpg_thumb)
 09.47.52.jpg)
 09.47.52.jpg_thumb)
 09.47.19.jpg)
 09.47.19.jpg_thumb)
 09.41.16.jpg)
 09.41.16.jpg_thumb)
 09.42.48.jpg)
 09.42.48.jpg_thumb)
 08.42.07.jpg)
 08.42.07.jpg_thumb) -
VLAN 1 (default) no debe etiquetarse. Se trata de la NO-VLAN, es decir, los equipos que trabajan sin etiquetado VLAN.
https://doc.pfsense.org/index.php/Multi-WAN_using_VLANs_with_pfSense
don’t use vlan1 usually dedicated to switch
-
Postea captura de:
-
Configuración VLANs en el switch
-
Configuración VLANs en pfSense
-
Configuración interfases pfSense
-
Reglas interfases pfSense
Enmascara los datos que puedan ser sensibles, si los hay.
No veo configuración ni reglas de las interfases. Hay imágenes borrosas, ilegibles.
-
-
Perdón, te detallo de todas formas, las VLAN (dirección) está en la 192.168.10.1, la LAN en 192.168.100.50 (pfsense) y la WAN por DHCP. Ahora mismo no hay configuraciones prácticamente, sólo las necesarias para salir a Internet.
Te detallo solo la VLAN de dirección, ya que el resto tienen la misma configuración para las redes 192.168.x.1, siendo x valores de 20, 30, 40 y 50.
Dime si son las capturas que me pedías y si las ves bien.Gracias nuevamente
 10.51.58.jpg)
 10.51.58.jpg_thumb)
 10.52.14.jpg)
 10.52.14.jpg_thumb)
 10.52.22.jpg)
 10.52.22.jpg_thumb)
 10.53.17.jpg)
 10.53.17.jpg_thumb)
 10.53.52.jpg)
 10.53.52.jpg_thumb) -
Adjunto todas las capturas que me comentas. Pongo el Switch principal y otro conectado a este en el puerto 2. En puertos 2, 22, 23 y 24 están conectados los Switches, y en el puerto 4 el pfsense.
Si lo pongo en TAGGED, no puedo ver desde direccionamiento LAN el pfsense, tengo que ponerlo en UNTAGGED. Como se puede ver también desde direccionamiento LAN, accedo a todas las VLAN, pero cuando cambio a direccionamiento de una de las VLAN, no veo ni a ella misma.
Muchas graciasOlvidate de la LAN!
Tienes una WAN y una LAN,en la cual creaste VLANs para conectar un switch.
La Lan no la vas a utilizar mas,solo si desconectas el switch y conectas un pc directamente al pfsense.La WAN por DHCP no puede estar en 192.168.100.X o 192.168.10.x o cualquier otro segmento que coincida con las VLANs.
No uses el DHCP del switch para las VLANs
El puerto 4 del switch,(donde esta conectado pfsense)esta configurado como TRUNK y Tagged?
Estará correcta la configuración PVID no es lo mismo que VID
Que modelo es el switch D-Link conectado al pfsense?
-
El switch en el que se conecta el pfsense (y los otros 4 switches) es un DLINK DWS-3160-24TC (el resto son DGS-1210-28P en los puertos 2, 22, 23 y 24 del anterior).
Los son de capa 2, con lo que no tienen DHCP, de hecho las pruebas para los accesos las estoy haciendo desde máquina con ip manual. La WAN está en el rango 192.168.1.0/24. Y la LAN es la que tengo conectada en el puerto 4, la WAN va directamente al router del operador.
El switch tiene la VLAN default todo en UNTAGGED, y las VLANs creadas todas con puertos TAGGED en el 2, 4, 22, 23 y 24. El resto de switch en TAGGED en los puertos que se conectan al DWS-3160-24TC. He probado con TRUNK, aunque no es necesario para que funcionase. Los PVID corresponden a cada VLAN creada según el puerto al que pertenecen.
Si te hace falta más información, dímelo.Gracias
-
Yo uso un L2 serie 3 de TP-Link,no puede haber mucha diferencia en las configuraciones….
El puerto de switch donde pfsense esta conectado si o si tiene que ser TRUNK y TAGGED
las demas VID no tienen porque ser TAGGED pero si o si tienen que ser miembro de TRUNK
Ejemplo:
La VID 20 llamada ADM es el puerto 2 UNTAGGED,pero también es miembro del puerto 1 que es TRUNK y TAGGED
Aca se puede ver que todas las VLANs tienen como miembro al puerto 1(TRUNK)
-
Según veo tu configuración tienes VLAN asimétricas, no?
-
si y funciona de maravilla
un video de lo mismo con un switch D-Link
http://www.youtube.com/watch?v=Ll0ZQD77NSM
-
¿Tendría que poner asimétrica todos los switches, o sólo el que está conectado al pfsense (recuerda la configuración que tengo)?
-
Soluciona el problema con el switch principal,luego tu decides,las VLANs creadas puedes usarlas en los otros switches
tienes que agregar otro puerto trunk tagged para comunicarlos.
-pero configura el switch principal primero…
-cuando puedas remplaza la realtek con una intel! -
Perdón, te detallo de todas formas, las VLAN (dirección) está en la 192.168.10.1, la LAN en 192.168.100.50 (pfsense) y la WAN por DHCP. Ahora mismo no hay configuraciones prácticamente, sólo las necesarias para salir a Internet.
Te detallo solo la VLAN de dirección, ya que el resto tienen la misma configuración para las redes 192.168.x.1, siendo x valores de 20, 30, 40 y 50.
Dime si son las capturas que me pedías y si las ves bien.Gracias nuevamente
Las reglas que tienes son insuficientes.
La regla "por defecto" con origen una LAN net cualquier destino es para ir a internet. No sirve para comunicar entre LANs de pfSense.
Tienes que añadir, por delante de la regla por defecto una que tenga por origen LAN net y destino VLAN100 net (EJEMPLO). Esto te permitirá ir de LAN net a VLAN100 net. Y, al revés, de VLAN100 net a LAN net.
Esto, para las pruebas. Después (más tarde, deshabilitando estas reglas por defecto) tienes que acotar qué quieres dejar pasar de un lado a otro. Piensa que siempre "manda" el tráfico "origen". Es decir, si LAN net es, por ejemplo, la red más segura puede que interese dejar ir a VLAN100 net sin restricciones pero no al revés.
Mírate algún tutorial básico con varias redes. Arriba, en Documentación, los tenemos.
-
Independientemente de las VLANs configuradas en los switches, ahora mismo estoy con un cable cruzado en la LAN del pfsense, a la dirección del pfsense (192.168.100.50) accedo sin ningún problemas. ¿Se supone que tendría que acceder también si configuro el equipo con un direccionamiento de VLAN (por ejemplo 192.168.10.X) a la dirección 192.168.10.1?
Es que creo que el problema va a estar por ahí.
Gracias -
Si vas a poder acceder sin problemas,desde mi VLAN ADM accedo al pfbox,switch,AP,Impresora de red,modem adsl.
Si no tienes porque llegar a 192.168.100.50 para el gui.
Si la VLAN va a ser 192.168.10.1/24,tienes el gui en 192.168.10.1 -
La regla "por defecto" con origen una LAN net cualquier destino es para ir a internet. No sirve para comunicar entre LANs de pfSense.
Mmmm, la regla for defecto es de "source: LAN net, destination: any". Esto permite el tráfico desde la LAN hacia cualquier destino que sea ruteable, incluyendo el mismo pfSense, otras LANs, VLANs o internet. O me perdí de algo en el medio??
Saludos!
-
Si comprobaste que es así, entonces estoy equivocado.
En las versiones 1.x había que hacerlo así. No recuerdo por qué.
Igual en esas versiones no venía la regla default. O adquirí la costumbre de no emplearla.
Tendría que probar con una instalación multiLAN y versión 2.1 que no estuviera en producción…
