Comunicação entre Vlans.

lucaspolli · Jul 23, 2014, 7:35 PM

normalmente quando altero algo referente a rede eu faco um reset no states…

FernandoFreitas · Jul 23, 2014, 7:40 PM

sim sim… já fiz isto... mas nada. :(

neo_X · Jul 23, 2014, 8:26 PM

Boa tarde.

Seguinte:

Tenho em minha rede 9 vlans criadas, com dhcp e tudo mais funcionando.
Estou tentando fazer a comunicação entre 2 delas (172.16.0.2/21 e 192.168.1.2/20)

Já tentei criar rules, gambiarras em NAT, e nada… nenhum trafego passa entre elas.

Alguem tem alguma luz sobre isto?

At.te.

Post todas as redes que vc configurou nas VLANs. Essas vlans vc criou no pfSense ou em sw L3?

FernandoFreitas · Jul 25, 2014, 4:18 PM

Interfaces:

Lan: 10.2.0.1/16
vlan10 -> 172.16.10.1/24
vlan100 -> 172.16.100.1 /24
vlan20 -> 172.16.20.1/24
vlan30 -> 172.16.30.1/24
vlan40 -> 172.16.40.1/24
vlan50 -> 10.1.0.1/16
vlan60 -> 172.17.0.1/16
vlan70 -> 192.168.1.2/20
vlan80 -> 172.16.0.2/21 (esta ficou 0.2 porque alguma coisa tava puxando o 0.1 e aparecendo conflito no log)

e as Vlans foram criadas no pfsense… a switch está apenas com as trunck e tags das vlans.

brunopinheiro · Jul 24, 2014, 6:19 PM

Caro Fernando,

creio que bridge não ira resolver seu caso, pois voce precisará de um roteado para rotear os endereços. Na bridge, voce está transformanda a interface vlan 70 e interface vlan 80 em um switch.

Um erro encontrado é o conflito de endereço de rede entre as intefaces vlan50 e lan. A rede da interface vlan50 está sumarizando a rede da interface lan.

Suponto que voce deseja que um computador A (vlan 70) queria se comunicar com o computador B (vlan 80) e que essa comunicação é usando IP como destino em vez de dns:

Responda-me o seguinte:

Computador A
IP:
Mask:
Gateway:

Computador B
IP:
Mask:
Gateway:

Aguardamos.

Att,

Bruno Pinheiro.

FernandoFreitas · Jul 24, 2014, 6:32 PM

@Bruno:

Computador A
IP:
Mask:
Gateway:

Computador B
IP:
Mask:
Gateway:

Computador A
IP: 192.168.1.127
Mask: 255.255.240.0
Gateway: 192.168.1.2

Computador B
IP: 172.16.4.103
Mask: 255.255.248.0
Gateway: 172.16.0.2

brunopinheiro · Jul 24, 2014, 6:38 PM

Certo, até aqui está tudo certo, vamos para a segunda parte.

Post aqui os arquivos route.txt, nat.txt, rules.txt. Para isso use os seguintes comandos:

netstat -rn > route.txt

pfctl -sn > nat.txt

pfctl -sr > rules.txt

att,

Bruno Pinheiro.

FernandoFreitas · Jul 25, 2014, 1:20 PM

Segue arquivos.

route.txt
nat.txt
rules.txt

neo_X · Jul 25, 2014, 3:57 PM

Lan: 10.1.1.1/24
vlan10 -> 172.16.10.1/24
vlan100 -> 172.16.100.1 /24
vlan20 -> 172.16.20.1/24
vlan30 -> 172.16.30.1/24
vlan40 -> 172.16.40.1/24
vlan50 -> 10.1.1.100/8
vlan60 -> 172.17.0.1/16
vlan70 -> 192.168.1.2/20
vlan80 -> 172.16.0.2/21 (esta ficou 0.2 porque alguma coisa tava puxando o 0.1 e aparecendo conflito no log)

Têm redes sobrepostas aí, notou isso?

FernandoFreitas · Jul 25, 2014, 4:18 PM

@neo_X:

Têm redes sobrepostas aí, notou isso?

não tinha…

mas alterei:

Lan: 10.2.0.1/16
vlan50 -> 10.1.0.1/16

ps: vou corrigir nos outros posts.

brunopinheiro · Jul 25, 2014, 5:04 PM

Rotas ok!
Rules ok!
NAT ok!

vamos isolar o problema agora. Siga os passos abaixo:

1- Abra duas sessões ssh do pfsense;

2- Na primeira sessão, execute o seguinte comando:

tcpdump -ni re0_vlan80 host 172.16.4.103 and host 192.168.1.127 and icmp > log_int_vlan80.txt

3- Na segunda sessão, execute o seguinte comando:

tcpdump -ni re0_vlan70 host 172.16.4.103 and host 192.168.1.127 and icmp > log_int_vlan70.txt

4- Na maquina 172.16.4.103, execute um ping para 192.168.1.127;

ping 192.168.1.127 -n 10

5- Na maquina 192.168.1.127, execute um ping para 172.16.4.103;

ping 172.16.4.103 -n 10

3- De volta aos terminais, pressione a sequencia de teclas Control + C. Post aqui os dois arquivos.

att,

Bruno Pinheiro

FernandoFreitas · Jul 25, 2014, 5:56 PM

em anexo.

log_int_vlan80.txt
log_int_vlan70.txt

neo_X · Jul 25, 2014, 6:41 PM

Seu endereçamento de redes não está certo. Altere o barramento da vlan 80 para /16 ou refaça o cálculo.

brunopinheiro · Jul 26, 2014, 2:50 AM

Executou os dois ping simultâneos :P , tranquilo, consegui entender aqui.

O endereçamento parece esta correto.

Fernando, mais um teste para isolar o problema. Faça o seguinte:

Navegue até "Firewall > Rules > vlan70" e adicione um regra bloqueando protocolo ICMP de any pra any; aplique
Faça isso na vlan80 também; aplique

COLOQUE ESSAS REGRAS NO TOPO DE CADA INTERFACE NÃO ESQUEÇA.

Agora repita os passos anterior, mas dessa vez ping um espere acabar e logo depois pingue o outro.

@Bruno:

1- Abra duas sessões ssh do pfsense;

2- Na primeira sessão, execute o seguinte comando:
tcpdump -ni re0_vlan80 host 172.16.4.103 and host 192.168.1.127 and icmp > log_int_vlan80.txt
3- Na segunda sessão, execute o seguinte comando:
tcpdump -ni re0_vlan70 host 172.16.4.103 and host 192.168.1.127 and icmp > log_int_vlan70.txt
4- Na maquina 172.16.4.103, execute um ping para 192.168.1.127;
ping 192.168.1.127 -n 10
5- Na maquina 192.168.1.127, execute um ping para 172.16.4.103;
ping 172.16.4.103 -n 10
3- De volta aos terminais, pressione a sequencia de teclas Control + C. Post aqui os dois arquivos.

aguardo os logs,

att,

Bruno Pinheiro