Ruta entre redes

dgrvedado

Hola Foro:

Si bien llevo algún tiempo trabajando con pfsense; ahora es que me estoy enfrentando a temas sencillos que con un GNU/Linux podría resolver rapidamente; pero con pfsense no se.

Tengo un server 2.2.1-RELEASE (i386) con dos tarjetas de red
WAN- concetada a Internet
LAN- conectada a mi red. (192.168.30.0/24)

Por necesidad he tenido que crear dentro de mi red otra numeración IP (10.10.10.0/24)

Ya he creado en mi pfsense una Virtuals IP (10.10.10.1) y desde el mismo hago ping a ambas redes bien.

Ahora quiero que desde mi red 192.168.30.0/24 puedan acceder a los host de 10.10.10.0/24; pero no viceversa. Aquí es donde me pierdo, porque intente crear una ruta
System-> Routing -> Gateways cree un nuevo Gateway
Name: LAN_WATCH
Gateway: 192.168.30.1
Después en la pestaña Routes cree la siguiente ruta:
Destination Net: 10.10.10.0/24
Gateway: Selecciono LAN_WATCH

Después me fuí a Firewall y cree una reglas en Rules, pestaña LAN:
Source: 192.168.30.0/24
Destination: 10.10.10.0/24

No creo que haga falta NAT, porque no voy a hacer NAT de nada. Pero aún así no puedo hacer ni ping de las Red 192.168.30.0/24 a la red 10.10.10.0/24

Alguna sugerencia?

gersonofstone

Hola

Como sugerencia segmentar la red en vlan, y para el tema de comonicar las redes puedes usar rutas estaticas en el menu System: Gateways en routes, ahy puedes publicas tu redes y en las reglas permites el trafico entre ellas.

dgrvedado

@gersonofstone:

Como sugerencia segmentar la red en vlan,

Tengo que meterme en este tema para poder hacer, porque en pfsense soy muy novato.

@gersonofstone:

y para el tema de comonicar las redes puedes usar rutas estaticas en el menu System: Gateways en routes, ahy puedes publicas tu redes y en las reglas permites el trafico entre ellas.

Esto es precisamente lo que hice, pero no me funciona. Recomienda algún Manual de pfsense para este particular?

ptt

Si las 2 redes están conectadas directamente al pfSense, No necesitas agregar/configurar Rutas ni GW (en el pfSense)…

En las imágenes adjuntas puedes ver, la IP virtual, y la Regla en LAN que bloquea el acceso desde la red de la VIP a la Red LAN

LAN del pfSense: 192.168.1.254/24

IP Virtual (para el "otro segmento"): 192.168.10.254

El "Windows" está en la LAN (IP 192.168.1.10/24 - GW 192.168.1.254)

El "Debian" está en el "otro" (VIP) segmento (IP 192.168.10.12/24 - GW 192.168.10.254)

Y como puedes ver, los "PING" van desde la red 192.168.1.0/24 a la 192.168.10.0/24 (incluso acceso vía SSH al Debian) pero NO de la red 192.168.10.0/24 a la 192.168.1.0/24


Microsoft Windows [Versión 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. Reservados todos los derechos.

C:\Users\ptt>ping 192.168.10.12

Haciendo ping a 192.168.10.12 con 32 bytes de datos:
Respuesta desde 192.168.10.12: bytes=32 tiempo<1m TTL=63
Respuesta desde 192.168.10.12: bytes=32 tiempo<1m TTL=63
Respuesta desde 192.168.10.12: bytes=32 tiempo<1m TTL=63
Respuesta desde 192.168.10.12: bytes=32 tiempo<1m TTL=63

Estadísticas de ping para 192.168.10.12:
    Paquetes: enviados = 4, recibidos = 4, perdidos = 0
    (0% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
    Mínimo = 0ms, Máximo = 0ms, Media = 0ms

C:\Users\ptt>tracert 192.168.10.12

Traza a 192.168.10.12 sobre caminos de 30 saltos como máximo.

  1    <1 ms    <1 ms    <1 ms  192.168.1.254
  2    <1 ms    <1 ms    <1 ms  192.168.10.12

Traza completa.

C:\Users\ptt>


root@debian-vbox:/home/ptt# ifconfig eth0
eth0      Link encap:Ethernet  HWaddr 08:00:27:a5:42:f8  
          inet addr:192.168.10.12  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:fea5:42f8/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:195 errors:0 dropped:0 overruns:0 frame:0
          TX packets:266 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:33194 (32.4 KiB)  TX bytes:33776 (32.9 KiB)

root@debian-vbox:/home/ptt# ping 192.168.1.250
PING 192.168.1.250 (192.168.1.250) 56(84) bytes of data.
^C
--- 192.168.1.250 ping statistics ---
14 packets transmitted, 0 received, 100% packet loss, time 13103ms

Personalmente, por cuestiones de seguridad, NO implementaría mi red de esta manera, sino que agregaría una interface adicional al pfSense (sea Física o mediante VLAN's)

pf_LAN_VIP_10.png_thumb

pf_FW_LAN_VIP_Net.png_thumb

SSH_VIP_LAN.png_thumb

ptt

En esta imagen, puedes ver al "debían" (192.168.10.12) intentando acceder al menú web de un RB250GS (192.168.1.250), y NO lo puede hacer, ya que está la regla de "Block" en la LAN del pfSense

pf_Debian-RB_Blocked.png_thumb

ptt

Si se "deshabilita" dicha regla (imagen adjunta) el "Debian" SI puede acceder al menú web del RB250GS (imagen adjunta)

pf_FW_LAN_VIP_Net_Disabled.png_thumb

pf_Debian-RB_Pass.png_thumb

dgrvedado

@ptt:

Si las 2 redes están conectadas directamente al pfSense, No necesitas agregar/configurar Rutas ni GW (en el pfSense)…

Así tal cual como describes he hecho.

Mi interfaz de red real re2 = 192.168.30.1
Sobre esta cree la Virtual IP = 10.10.10.1

El asunto es que quiero que las PC de 192.168.30.x puedan acceder a los 10.10.10.x usan los mismos Swicht.

De hecho desde mi PC = 192.168.30.4 puedo hacer ping al 10.10.10.1, y al 192.168.30.1; pero no puedo hacer ping al 10.10.10.100 por ejemplo.

No tengo regla ninguna en el firewall y ya elimine las rutas que había creado.

@ptt:

Personalmente, por cuestiones de seguridad, NO implementaría mi red de esta manera, sino que agregaría una interface adicional al pfSense (sea Física o mediante VLAN's)

Lamentablemente no tengo a mano una NIC para poner al servidor. Por eso me fui por la variante Virtual IP.

![Captura de pantalla de 2015-04-29 19:16:04.png](/public/imported_attachments/1/Captura de pantalla de 2015-04-29 19:16:04.png)
![Captura de pantalla de 2015-04-29 19:16:04.png_thumb](/public/imported_attachments/1/Captura de pantalla de 2015-04-29 19:16:04.png_thumb)

ptt

Y la "10.10.10.100" tiene como GW la IP del pfSense (10.10.10.1) ?

Y el FW de "10.10.10.100" permite acceso desde "otra red" (192.168.30.0/24) ?

dgrvedado

@ptt:

Y la "10.10.10.100" tiene como GW la IP del pfSense (10.10.10.1) ?

Eso no lo se… porque no fui yo quien configuró los equipos, deberé configurar para mañana.

@ptt:

Y el FW de "10.10.10.100" permite acceso desde "otra red" (192.168.30.0/24) ?

Tampoco se, el .100 es un NVR no creo que su SO tenga un Firewall. De igual forma para 10.10.10.x cualquier petición que venga de 192.168.30.x el la reconocerá como 10.10.10.1 o ¿no es así?

ptt

No, lo verá con la IP original (192.168.30.x), ya que No estás "NATeando"

dgrvedado

@ptt:

No, lo verá con la IP original (192.168.30.x), ya que No estás "NATeando"

Bueno probaré mañana el tema de poner Gateway en los NVR 10.10.10.x

Gracias!!!

dgrvedado

Confirmo que al poner el Gateway en los equipos de la red, 10.10.10.x ya se pudo acceder desde mi red 192.168.30.x.

Gracias ptt por la ayuda prestada.

ptt

De nada ;)

Fíjate si puedes editar el Título del primer post y agregarle: [Resuelto]