Rutas estáticas

bellera

NO rutas estáticas con subredes pertenecientes a pfSense

Equipo izquierdo

Añade puerta para interfase WAN 172.16.20.120

Añade regla por delante en LAN para destino 192.168.100.0/24 yendo por puerta 172.16.20.120

Equipo derecho

Añade puerta para interfase WAN 172.16.20.121

Añade regla por delante en LAN para destino 192.168.200.0/24 yendo por puerta 172.16.20.121

Ya dirás cómo te fue.

beniSB

Muchas gracias por tu pronta respuesta,

acabo de probar lo que me has comentado y sigo sin poder acceder entre subredes:

He realizado lo que indicaste anteriormente, que por lo que entendí es:
  - Quito la ruta estática en cada pfSense.
  - Añado un nuevo gateway en cada pfSense para cada IP de la WAN con la IP del pfSense contrario.
  - Creo una regla en cada pfSense (las he puesto la primera) en el interfaz LAN para cada destino indicando en cada caso la subred destino y como gateway el pfsense contrario:
              * Para 172.16.20.120 –> Destino 192.168.200.0/24  Gateway --> 172.16.20.121
              * Para 172.16.20.121 --> Destino 192.168.100.0/24  Gateway --> 172.16.20.120

Y sigo sin salir del problema. No entiendo que estoy haciendo mal...  :-[
Algo se me escapa.

PD: el traceroute hacia cada una de las subredes sigo indicando que salen por los gateways por defecto (172.16.20.1 y 172.16.20.2).

Muchas gracias nuevamente.

bellera

@beniSB:

• Para 172.16.20.120 –> Destino 192.168.200.0/24  Gateway --> 172.16.20.121
                * Para 172.16.20.121 --> Destino 192.168.100.0/24  Gateway --> 172.16.20.120

No. El origen tiene que ser LAN net (o cualquiera) en cada regla.

Y, además, tienes que desmarcar Block Private Networks en cada WAN, pues están recibiendo tráfico de la WAN contraria.

acriollo

Hola Bellera,

tengo un caso parecido.  El caso que tengo yo es que "colgue" un pfsense con una IP de la LAN configurada en la WAN2 de mi equipo y la WAN1 conectado a un ADSL.

Puedo ver los equipos que estan atras del pfsense sobre la LAN ( enviando ping desde un host de la red wan2 ) , pero el trafico que estoy sacando de la LAN hacia la red principal ( conectada por WAN2) me lo esta enmascarando el pfsense.  He agregado una regla para que el trafico hacia la red de la WAN2 proveniente de la LAN lo deje pasar directamente por la WAN2, pero aun asi me lo sigue enmascarando con la IP de la WAN2.

Que necesito modificar para que el trafico entre mi LAN y la red de la WAN2 pase sin enmascarar ? habilitar el advanced nat y quitar el nateo de la wan2?

Gracias de antemano

acriollo

Aqui tengo un pequeño diagrama.

No es el diseño de red mas adecuado , pero me permitiio salir del paso ya que no tenia otra interface dispoibile en el pFsense para conectar esta sucursal que esta conec
tada via inalambrica.

saludos

acriollo

diagrama equivocado

bellera

Si quieres desenmascarar, efectivamente, tienes que poner NAT Outbound en modo manual y escribir tus reglas de NAT saliente.

Piensa que los NAT se ejecutan según orden. Por tanto, puedes no NATear para destinos que pertenezcan a la subred de la WAN y NATear después para cualquier destino.

acriollo

Gracias.
Entonces habilito el advanced nat.

Pensaba que colocando una regla de paso para ese destino podria hacer que no pasara por el nat pero veo que no es así.

Saludos de puebla en mexico

beniSB

Buenos días nuevamente,
gracias una vez más pero puse las reglas tal y como indicaste (Block Private Networks ya lo tenía desmarcado) y sigo igual  :'(

Adjunto pantallazos de reglas LAN, configuración WAN y Gateways. No tengo rutas estáticas.
Aunque no lo he mencionado antes la versión que estoy utilizando en ambos equipos es la 2.1. Release (amd64).

¿Alguna sugerencia adicional?.

Muchas gracias.

beniSB

Al final he podido solucionar el problema.
Simplemente activando la casillas "Bypass firewall rules for traffic on the same interface" dentro de SYSTEM –> ADVANCED --> FIREWALL/NAT --> STATIC ROUTING FILTERING se soluciona.

Al parecer si no está activa, cualquier ruta estática activa es desechada por el firewall (si no he entendido mal).
En cualquier caso, ya lo tengo solucionado.

Muchas gracias José Luis por tu apoyo y aportaciones al foro.

Un saludo.

bellera

Static route filtering Bypass firewall rules for traffic on the same interface
This option only applies if you have defined one or more static routes. If it is enabled, traffic that enters and leaves through the same interface will not be checked by the firewall. This may be desirable in some situations where multiple subnets are connected to the same interface.

Interesante opción que no recordaba. ¡Touché!