Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [solucionado]Prioblemas Al asignar IP Publicas a distintos segmentos de red

    Scheduled Pinned Locked Moved Español
    15 Posts 4 Posters 2.8k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jlaguilar
      last edited by

      Hola agradeciendo tu respuesta acrillo.

      oops me equivoque y agrege en esta explicación la direccion
      Network : 192.168.1.0/24 ->  Gateway: 192.168.2.3 ->  Interface: LAN - > Description: Sitio Datos2
      esta no va lo siento …

      Network : 192.168.2.0/24 ->  Gateway: 192.168.2.3 ->  Interface: LAN - > Description: Sitio Datos2
      Network : 192.168.3.0/24 ->  Gateway: 192.168.2.3 ->  Interface: LAN - > Description: Sitio Datos2
      pero bueno, se agregaron estas rutas por que los segmentos de voz tienen su puerta de salida al 192.168.2.1 que es un equipo Cisco y esa deben ser alcanzable desde los datos (192.168.1.0/24) por eso se enruta que todo el segmento da datos que requiera informacion del segmento de voz se diriga al equipo Cisco (192.168.2.3) y no se pude cambiar la puerta de salida por que ese equipo Cisco es el Conmutador (CallManager).

      esto mismo esta para los segmentos de seguridad (192.168.3.0/24) aunque a estos si podria cambiarles la puerta de salida.

      quedo a espera de cualqueir comentario

      saludos

      1 Reply Last reply Reply Quote 0
      • A
        acriollo
        last edited by

        Entiendo.

        has revisado el tema del NAT para las redes adicionales ?  has revisado que el equipo que estas tratando de acceder tiene correctamente configurada la puerta de enlace ?

        saludos

        1 Reply Last reply Reply Quote 0
        • J
          jlaguilar
          last edited by

          Hola acriollo,

          Si, como te comentaba Actualmente esta direccionado a la puerta 192.168.3.1 que la tiene el Cisco 192.168.0.3 y contiene IP secundarias  (192.168.1.1, 192.168.3.1, 192.168.2.1), esto antes de poner el PFSENSE si funcionaba, y se podía enviar desde la wan a la IP de las camaras

          1 Reply Last reply Reply Quote 0
          • G
            Gernupe
            last edited by

            Tiene toda la pinta de ser un problema de rutas esto.

            Me imagino que el equipo 192.168.3.5 tiene como gateway la 192.168.3.1 (en el post original no lo dice, pero si usas una mascara /24 y el pfsense tiene la 192.168.1.1 no creo que haya otra forma), por lo que todo lo que le llegue desde cualquier ip, va a intentar volver por ese lugar, por lo que los accesos que se hagan desde internet, van a intentar salir por el gateway incorrecto. Con la 1.2 funciona bien, porque el gateway es el mismo por donde entra el request original tambien.

            1 Reply Last reply Reply Quote 0
            • J
              jlaguilar
              last edited by

              Estaba pensando u colocarla una segunda IP pero no veo donde, ya hice lo que esta escrito en la documentación "Multiple Subnets on One Interface in pfSense" pero no da resultado, me podrias indicar como puedo poner la segunda IP (192.168.3.1) para que los equipos del segmento de la red la vean y ya puedan salir a internet.

              1 Reply Last reply Reply Quote 0
              • G
                Gernupe
                last edited by

                Creas una "Virtual IP" del tipo "Proxy ARP", en interfaz elegi la LAN y en la ip pone la 192.168.3.1. Acordate de quitarla del Cisco o las dos van a responder al ARP por la misma IP.

                Nota: Esto quita todo el acceso a lo que se accediera por el otro router, si precisas acceder a algo si o si por el otro enlace, crea rutas estaticas a las ips de los servicios que quieras acceder y como gateway pone la ip del cisco que esta en la red 192.168.1.0/24

                ![Firewall_ Virtual IP Address_ Edit.png](/public/imported_attachments/1/Firewall_ Virtual IP Address_ Edit.png)
                ![Firewall_ Virtual IP Address_ Edit.png_thumb](/public/imported_attachments/1/Firewall_ Virtual IP Address_ Edit.png_thumb)

                1 Reply Last reply Reply Quote 0
                • G
                  Gernupe
                  last edited by

                  Voy a cambiar mi respuesta, proxy arp no te sirve porque es una red entera lo que precisas. el tipo de ip virtual en "IP Alias" con la mascara correcta. Despues si queres tener  salida a internet y tenes los nateos de salida manuales, deberias generar una entrada con origen la 3.0/24 nateando con la ip de la WAN

                  1 Reply Last reply Reply Quote 0
                  • J
                    jlaguilar
                    last edited by

                    He echo la configuración
                    y sigo sin alcanzar los equipos

                    anexo lo que configuré
                    saludos

                    ![Ip Alias.png](/public/imported_attachments/1/Ip Alias.png)
                    ![Ip Alias.png_thumb](/public/imported_attachments/1/Ip Alias.png_thumb)
                    ConfigWan.png
                    ConfigWan.png_thumb
                    Reglas.png
                    Reglas.png_thumb

                    1 Reply Last reply Reply Quote 0
                    • G
                      Gernupe
                      last edited by

                      192.168.3.1 la VIP, el resto parece estar correcto.

                      1 Reply Last reply Reply Quote 0
                      • J
                        jlaguilar
                        last edited by

                        Realice la modificación

                        desde el mismo PFsense responde

                        [2.2.6-RELEASE][firerwall]/root: ping 192.168.3.1
                        PING 192.168.3.1 (192.168.3.1): 56 data bytes
                        64 bytes from 192.168.3.1: icmp_seq=0 ttl=64 time=0.112 ms
                        64 bytes from 192.168.3.1: icmp_seq=1 ttl=64 time=0.031 ms
                        64 bytes from 192.168.3.1: icmp_seq=2 ttl=64 time=0.032 ms
                        64 bytes from 192.168.3.1: icmp_seq=3 ttl=64 time=0.036 ms
                        64 bytes from 192.168.3.1: icmp_seq=4 ttl=64 time=0.036 ms
                        64 bytes from 192.168.3.1: icmp_seq=5 ttl=64 time=0.029 ms
                        64 bytes from 192.168.3.1: icmp_seq=6 ttl=64 time=0.040 ms
                        64 bytes from 192.168.3.1: icmp_seq=7 ttl=64 time=0.038 ms
                        64 bytes from 192.168.3.1: icmp_seq=8 ttl=64 time=0.030 ms
                        64 bytes from 192.168.3.1: icmp_seq=9 ttl=64 time=0.034 ms
                        64 bytes from 192.168.3.1: icmp_seq=10 ttl=64 time=0.043 ms
                        64 bytes from 192.168.3.1: icmp_seq=11 ttl=64 time=0.032 ms
                        64 bytes from 192.168.3.1: icmp_seq=12 ttl=64 time=0.031 ms
                        64 bytes from 192.168.3.1: icmp_seq=13 ttl=64 time=0.033 ms
                        64 bytes from 192.168.3.1: icmp_seq=14 ttl=64 time=0.040 ms
                        64 bytes from 192.168.3.1: icmp_seq=15 ttl=64 time=0.032 ms

                        pero cuando le doy ping a un equipo de ese segmento
                        [2.2.6-RELEASE][firerwall/root: ping 192.168.3.12
                        PING 192.168.3.12 (192.168.3.12): 56 data bytes
                        ping: sendto: Host is down
                        ping: sendto: Host is down
                        ping: sendto: Host is down
                        ping: sendto: Host is down
                        ping: sendto: Host is down
                        ping: sendto: Host is down
                        ping: sendto: Host is down
                        ping: sendto: Host is down
                        ping: sendto: Host is down
                        ping: sendto: Host is down
                        ping: sendto: Host is down
                        ping: sendto: Host is down
                        ping: sendto: Host is down
                        ping: sendto: Host is down

                        Ese equipo ya esta configurado para que la puerta de salida sea 192.168.3.1

                        1 Reply Last reply Reply Quote 0
                        • G
                          Gernupe
                          last edited by

                          Te quedo con /24 el alias? El otro equipo (que no se de donde saque que era un Cisco) no seguira respondiendo con la misma ip?

                          1 Reply Last reply Reply Quote 0
                          • G
                            Gernupe
                            last edited by

                            Hace el ping desde otro equipo y no desde el router al equipo, puede tener algún firewall que impida la respuesta. Si no responde revisa la tabla arp del equipo, si aparece la 192.168.3.1, fijate si coincide con la MAC de la interfaz LAN.

                            1 Reply Last reply Reply Quote 0
                            • belleraB
                              bellera
                              last edited by

                              @jlaguilar:

                              Bueno ahora se necesita que un equipo del segmento de seguridad se le asigne una IP Publica la cual se procede hacer lo mismo.

                              Entiendo que lo que quieres es disponer de varias IPs públicas en tu WAN y hacer NAT entrante.

                              Google wan public ip site:forum.pfsense.org

                              https://forum.pfsense.org/index.php?topic=58629.0

                              https://www.youtube.com/watch?v=zrBr0N0WrTY

                              En el vídeo hacen NAT 1:1, que equivale a publicar en internet todos los servicios que tenga el equipo interno.

                              Si no quieres dejarlo tan abierto emplea NAT Port Forward

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.