[solucionado]Prioblemas Al asignar IP Publicas a distintos segmentos de red
-
Hola agradeciendo tu respuesta acrillo.
oops me equivoque y agrege en esta explicación la direccion
Network : 192.168.1.0/24 -> Gateway: 192.168.2.3 -> Interface: LAN - > Description: Sitio Datos2
esta no va lo siento …Network : 192.168.2.0/24 -> Gateway: 192.168.2.3 -> Interface: LAN - > Description: Sitio Datos2
Network : 192.168.3.0/24 -> Gateway: 192.168.2.3 -> Interface: LAN - > Description: Sitio Datos2
pero bueno, se agregaron estas rutas por que los segmentos de voz tienen su puerta de salida al 192.168.2.1 que es un equipo Cisco y esa deben ser alcanzable desde los datos (192.168.1.0/24) por eso se enruta que todo el segmento da datos que requiera informacion del segmento de voz se diriga al equipo Cisco (192.168.2.3) y no se pude cambiar la puerta de salida por que ese equipo Cisco es el Conmutador (CallManager).esto mismo esta para los segmentos de seguridad (192.168.3.0/24) aunque a estos si podria cambiarles la puerta de salida.
quedo a espera de cualqueir comentario
saludos
-
Entiendo.
has revisado el tema del NAT para las redes adicionales ? has revisado que el equipo que estas tratando de acceder tiene correctamente configurada la puerta de enlace ?
saludos
-
Hola acriollo,
Si, como te comentaba Actualmente esta direccionado a la puerta 192.168.3.1 que la tiene el Cisco 192.168.0.3 y contiene IP secundarias (192.168.1.1, 192.168.3.1, 192.168.2.1), esto antes de poner el PFSENSE si funcionaba, y se podía enviar desde la wan a la IP de las camaras
-
Tiene toda la pinta de ser un problema de rutas esto.
Me imagino que el equipo 192.168.3.5 tiene como gateway la 192.168.3.1 (en el post original no lo dice, pero si usas una mascara /24 y el pfsense tiene la 192.168.1.1 no creo que haya otra forma), por lo que todo lo que le llegue desde cualquier ip, va a intentar volver por ese lugar, por lo que los accesos que se hagan desde internet, van a intentar salir por el gateway incorrecto. Con la 1.2 funciona bien, porque el gateway es el mismo por donde entra el request original tambien.
-
Estaba pensando u colocarla una segunda IP pero no veo donde, ya hice lo que esta escrito en la documentación "Multiple Subnets on One Interface in pfSense" pero no da resultado, me podrias indicar como puedo poner la segunda IP (192.168.3.1) para que los equipos del segmento de la red la vean y ya puedan salir a internet.
-
Creas una "Virtual IP" del tipo "Proxy ARP", en interfaz elegi la LAN y en la ip pone la 192.168.3.1. Acordate de quitarla del Cisco o las dos van a responder al ARP por la misma IP.
Nota: Esto quita todo el acceso a lo que se accediera por el otro router, si precisas acceder a algo si o si por el otro enlace, crea rutas estaticas a las ips de los servicios que quieras acceder y como gateway pone la ip del cisco que esta en la red 192.168.1.0/24
 -
Voy a cambiar mi respuesta, proxy arp no te sirve porque es una red entera lo que precisas. el tipo de ip virtual en "IP Alias" con la mascara correcta. Despues si queres tener salida a internet y tenes los nateos de salida manuales, deberias generar una entrada con origen la 3.0/24 nateando con la ip de la WAN
-
He echo la configuración
y sigo sin alcanzar los equiposanexo lo que configuré
saludos
-
192.168.3.1 la VIP, el resto parece estar correcto.
-
Realice la modificación
desde el mismo PFsense responde
[2.2.6-RELEASE][firerwall]/root: ping 192.168.3.1
PING 192.168.3.1 (192.168.3.1): 56 data bytes
64 bytes from 192.168.3.1: icmp_seq=0 ttl=64 time=0.112 ms
64 bytes from 192.168.3.1: icmp_seq=1 ttl=64 time=0.031 ms
64 bytes from 192.168.3.1: icmp_seq=2 ttl=64 time=0.032 ms
64 bytes from 192.168.3.1: icmp_seq=3 ttl=64 time=0.036 ms
64 bytes from 192.168.3.1: icmp_seq=4 ttl=64 time=0.036 ms
64 bytes from 192.168.3.1: icmp_seq=5 ttl=64 time=0.029 ms
64 bytes from 192.168.3.1: icmp_seq=6 ttl=64 time=0.040 ms
64 bytes from 192.168.3.1: icmp_seq=7 ttl=64 time=0.038 ms
64 bytes from 192.168.3.1: icmp_seq=8 ttl=64 time=0.030 ms
64 bytes from 192.168.3.1: icmp_seq=9 ttl=64 time=0.034 ms
64 bytes from 192.168.3.1: icmp_seq=10 ttl=64 time=0.043 ms
64 bytes from 192.168.3.1: icmp_seq=11 ttl=64 time=0.032 ms
64 bytes from 192.168.3.1: icmp_seq=12 ttl=64 time=0.031 ms
64 bytes from 192.168.3.1: icmp_seq=13 ttl=64 time=0.033 ms
64 bytes from 192.168.3.1: icmp_seq=14 ttl=64 time=0.040 ms
64 bytes from 192.168.3.1: icmp_seq=15 ttl=64 time=0.032 mspero cuando le doy ping a un equipo de ese segmento
[2.2.6-RELEASE][firerwall/root: ping 192.168.3.12
PING 192.168.3.12 (192.168.3.12): 56 data bytes
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is downEse equipo ya esta configurado para que la puerta de salida sea 192.168.3.1
-
Te quedo con /24 el alias? El otro equipo (que no se de donde saque que era un Cisco) no seguira respondiendo con la misma ip?
-
Hace el ping desde otro equipo y no desde el router al equipo, puede tener algún firewall que impida la respuesta. Si no responde revisa la tabla arp del equipo, si aparece la 192.168.3.1, fijate si coincide con la MAC de la interfaz LAN.
-
Bueno ahora se necesita que un equipo del segmento de seguridad se le asigne una IP Publica la cual se procede hacer lo mismo.
Entiendo que lo que quieres es disponer de varias IPs públicas en tu WAN y hacer NAT entrante.
Google wan public ip site:forum.pfsense.org
https://forum.pfsense.org/index.php?topic=58629.0
https://www.youtube.com/watch?v=zrBr0N0WrTY
En el vídeo hacen NAT 1:1, que equivale a publicar en internet todos los servicios que tenga el equipo interno.
Si no quieres dejarlo tan abierto emplea NAT Port Forward
