Reglas para configurar correctamente trafico por MPLS (SOLUCIONADO)
-
Estimados como están?
Les cuento un poco de que se trata mi consulta. Resulta que estamos implementando una red de tipo MPLS que nos provee nuestro ISP para unir 3 sucursales de nuestra empresa.
Hace tiempo tengo implementado pfsense en cada una de mis sucursales, hasta hace unos días las unía por medio de OpenVPN y todo funcionaba de maravillas.
Luego de contratar el nuevo servicio de MPLS debo conectar las sucursales por ese medio y centralizar el trafico web de cada sucursal a la casa central.
Les paso aproximadamente como es el esquema actual:
Casa Central: pfsense 2.3
WAN1
WAN2
LAN
SYNC
WIFI
MPLS(nueva)Tengo configurado un a grupo de balanceo entre las dos WAN, los AP del edificio salen directamente por la interfaz WIFI y uso la SYNC para sincronizar con otro pfsense para tener HA
Actualmente agregue un nuevo adaptador denominado MPLS el cual esta conectado directamente a un router Cisco que provee mi ISP.
La ip del router cisco de mi ISP es 172.10.10.1 y la de mi interfaz MPLS es 172.10.10.2
Sucursal 1: Pfsense 2.2.4
WAN1
LAN
MPLS(nueva)En esta sucursal los clientes deben conectarse a la casa central por medio de la MPLS y todo el trafico de Internet y demás debe salir por el Squid de casa central
La ip del router cisco de mi ISP es 172.10.11.1 y la de mi interfaz MPLS es 172.10.11.2
Mis dudas sobre este esquema son las sig:
-
Monitoreo de gateway MPLS de casa central: No puedo hacer que el monitor de Gateway envíe los Ping por la interfaz MPLS, es decir el monitor de Gatway de la nueva interfaz MPLS siempre esta Offline.(Ver imagen 1). He probado hacer un ping desde la herramienta Ping del GUI y forzando que el trafico salga por la placa MPLS y en ese caso el gateway de mi ISP contesta correctamente, por lo tanto me hace pensar que el servicio de monitoreo de gateway intenta enviar el ping de monitoreo por un gateway que no es el correcto.
-
Reglas para permitir el trafico entre las sucursales: Me gustaría saber cuales serian las reglas básicas que debo tener configuradas para poder direccionar el trafico desde las sucursales hacia la casa central.
Espero que me entiendan y desde ya agradezco sus aportes.
Saludos
-
-
Hola
MPLS es un protocolo de "etiquetado" (al estilo Frame Relay) que trabaja en capa ( 4 NO, corregido el dato, gracias a Aleximper) 2 y 3 … No entiendo eso de reglas para MPLS, ya que las reglas de un firewall son de capa 3 (capa de red: IP), y le da igual si su tráfico va a salir por un medio/protocolo que otro (ethernet, ppoe, vpn, frame-relasy, isdn, mpls, etc), cada capa trabaja en su ámbito.
De todas formas hay info en el foro:
https://forum.pfsense.org/index.php?topic=58891.0
https://forum.pfsense.org/index.php?topic=79000.0Salu2
-
Buenas
Hablo de reglas por que la mpls esta conectada ala interfaz MPLS la cual es una WAN, es decir mi placa MPLS tiene la ip 172.10.10.2 y esa placa tiene configurado una gateway cuya ip es 172.10.10.1 (router del ISP).
Es por eso que necesito configurar reglas que me permitan traficar todo desde las sucursales hacia casa central.
Saludos
-
Hola
Respecto al GW mplsgw 172.10.10.1
Prueba: Ve al menú: System> Routing > Gateways
Edita el gw mplsgw y define una Monitor IP (podria ser la ip de otra sucursal 172.10.x.y, que responda a icmp o ping)
Imagino que las máscaras de red estarán correctas (eso se define en el menú interfaces, para cada interfaz, a no ser que obtengan la conf vía dhcp) …
Para saber por donde se enruta el tráfico (qué gw se usa), usa traceroute en lugar de ping ( desde el menú Diagnostics > traceroute o desde shell)
Salu2
-
El principal problema es que no encuentro la manera de lograr que el trafico de mi red 192.168.101.0/24 llegue a la 192.168.200.0/24 por medio de la MPLS.
Es decir yo en mi red 101.0/24 tengo un pfsense con una WAN que es la 172.10.11.2 la cual tiene un gateway 172.10.11.1, yo por esa WAN debería enviar el trafico con destino a mi red 200.0/24.
el problema es que no logro configurar la manera de que ese trafico salga por esa WAN en especifico y del otro lado configurar que acepte ese trafico
Si alguien me puede dar una mano se lo agradecería
Saludos
-
Hola
https://forum.pfsense.org/index.php?topic=79000.0
The solution is ;
- You need to make and allow the rules for interface OPT1 to LAN interface, set your destination (all MPLS network)
- Create a gateway for OPT1 and do a static route for each MPLS network.
Salu2
–- add --
En la img se crea la ruta a 192.168.200.0/24 con el comando route, via gw 172.a.b.c, en un equipo win
Podrias probar, para crear la ruta en el pfSense y no tener que hacerlo en los clientes de la LAN:
System > Routing > Gateways > add
Interface: la del mpls
GW: 192.168.200.x (el gw de la lan remota) -
Hola
Por cierto, el router Cisco con mpls. ¿Como publica las rutas? ¿Con el protocolo de enrutamiento RIP?¿Ya tienes definidas las rutas en el Cisco para mpls?
Si así fuera, creo recordar que pfSense traia un paquete para RIP, pero ya no lo veo en la ver 2.3
El meollo está en que pfSense sepa que ruta tomar a las subredes vía interfaz mpls, por ejemplo la 192.168.200.0/24
Otra idea seria que implementaras openVPN hub-and-spoke (una central con servidor openvpn y sucursales con cliente openvpn que se conecten a la central), o tuneles IPsec (doblando la seguridad en el tráfico vía mpls)
Salu2
-
Estimado muchas gracias por su ayuda.
El vinculo LAN-to-LAN lo provee la empresa Claro (Telmex) ellos la llaman RPV
http://www.claro.com.co/wps/portal/co/pc/corporaciones/multinacionales/rpv-multiservicios
Al momento de la configuración del servicio el ISP me envió lo sig:
Mxxxxxx: 172.10.10.1/24 - 192.168.200.0/24 x la 172.10.10.2
Sxxxxxx: 172.10.11.1/24 - 192.168.101.0/24 x la 172.10.11.2
Lxxxxxx: 172.10.12.1/24 - 192.168.102.0/24 x la 172.10.12.2
Bxxxxxx: 172.10.13.1/24 - 192.168.100.0/24 x la 172.10.13.2Según ellos el trafico sobre la MPLS funciona perfectamente y ya tiene todas las rutas internamente cargadas
Ahora me gustaría mostrarle la configuración actual de mis pfsense para descartar que exista un error en ella
He configurado todo de acuerdo a lo poco que se y lo que usted me ha recomendado pero aun así esto no funciona
Configuración SITE1
Esta es la interfaz MPLS configurada en el PFsense del Site1
Esta es la configuración del GW MPLS de esa interfaz
Esta es la ruta estática configurada en el Site1
Finalmente esta es la única regla definida dentro de la interfaz MPLS
Configuración Casa Central
Esta es la interfaz MPLS configurada en el PFsense de Casa Central
Esta es la configuración del GW MPLS de esa interfaz
Esta es la ruta estática configurada en Casa Central
Finalmente esta es la única regla definida dentro de la interfaz MPLS
Claramente algo esta mal por que con esa configuración no funciona
Saludos
-
Hola.
Las rutas estáticas, según la doc de pfSense:
https://doc.pfsense.org/index.php/Static_RoutesQue, creo a simple vista, es como lo tienes ahora.
Ahora deberias depurar. Desde un equipo de la lan de central (192.168.101.0/24) hacer un traceroute a un host de la lan remota 192.168.200.x y comprobar que enruta como debe, luego intentar conectarte a un servicio (telnet, ssh, ftp, sftp, http, https, etc) que tengas en ese host, y observar donde el tráfico es bloqueado (SYN_SENT). Ya sea mediante sniffer, en los logs del pfSense, etc
Salu2
-
Hola
Por cierto, rectifico, sí existe el paquete para pfSense 2.3 routed 1.2.3_2 RIP v1 and v2 daemon
Salu2
–add--
Si configuras los routers cisco de la central y de las sucursales MPLS para que publiquen las redes vía el protocolo de enrutamiento RIP (aconsejable rip v2, ya que proporciona seguridad con clave), y el pfSense le instalas el paquete Routed y lo configuras para que escuche y publique (la red lan) las tablas de rutas en su interfaz MPLS, asunto resuelto el tema de enrutamiento.
-
Estimado buenos días
Acabo de hacer un tracert desde Site1 a CasaCentral desde el mismo pfsense
Si lo hago desde un win da el mismo resultado
Me llamo la atención la IP del rango 156 por lo tanto realice un reclamo al proveedor y la respuesta de ellos es la siguiente.
_**Matias,
Según observo en las trazas estas llegando OK a las puntas, paso a continuación como están armadas:
• MENDOZA
GREE02RT01#sh ip int br
Interface IP-Address OK? Method Status Protocol
FastEthernet0 unassigned YES unset up up
FastEthernet1 unassigned YES unset administratively down down
FastEthernet2 unassigned YES unset administratively down down
FastEthernet3 unassigned YES unset administratively down down
FastEthernet4 unassigned YES NVRAM up up
FastEthernet4.52 154.1.83.102 YES NVRAM up up
Vlan1 unassigned YES unset administratively down down
Vlan100 172.10.10.1 YES manual up upGREE02RT01#sh ip route 192.168.200.1
Routing entry for 192.168.200.0/24
Known via "static", distance 1, metric 0
Redistributing via bgp 65194
Advertised by bgp 65194
Routing Descriptor Blocks:
* 172.10.10.2
Route metric is 0, traffic share count is 1• SAN LUIS
GREE01RT02#sh ip int br
Interface IP-Address OK? Method Status Protocol
FastEthernet0 unassigned YES unset up up
FastEthernet1 unassigned YES unset administratively down down
FastEthernet2 unassigned YES unset administratively down down
FastEthernet3 unassigned YES unset administratively down down
FastEthernet4 unassigned YES NVRAM up up
FastEthernet4.21 154.1.69.186 YES NVRAM up up
Vlan1 unassigned YES unset administratively down down
Vlan100 172.10.11.1 YES manual up upGREE01RT02#sh ip route 192.168.101.1
Routing entry for 192.168.101.0/24
Known via "static", distance 1, metric 0
Redistributing via bgp 65194
Advertised by bgp 65194
Routing Descriptor Blocks:
* 172.10.11.2
Route metric is 0, traffic share count is 1Posiblemente la falla sea en la ruta default de los host 172.10.X.2 en Mendoza y San Luis los cuales no saben cómo volver.-**_
Según lo que me comentan telefónicamente es que los pfsense son los que no encuentran la manera de retornar el trafico o algo así.
Que opina usted??
Saludos y Gracias
-
Hola
Lo que te dice tu isp es que los routers intermedios tienen sus interfaces levantadas y operativas y la ruta
Son Cisco, y usa los comandos:
show ip interface brief # muestra el estado de las interfaces
show ip route 192.168.200.1 # muestra la ruta a esa ipY se ve que usan BGP (Border Gateway Protocol) como procolo de enrutamiento.
Redistributing via bgp 65194
para publicar y obtener las tablas de rutas entre los nodos.
La mala noticia es que con RIP en ese entorno no funcionaria.
La buena noticia es que pfSense 2.3 dispone de un paquete OpenBGPD 0.11_4 donde puedes configurar BGP para que entienda y hable (reciba y publique) las rutas vía BGP
Salu2
-
Estimado muchas gracias por su ayuda.
He solucionado el problema configurando la siguiente regla en cada pfsense.
Reitero mi agradecimiento por su tiempo y ayuda.
Saludos
-
Hola
Le dejas pasar todo tipo de protocolo
protocol "any"
Observo que no hay protocolo espécifico para MPLS en las reglas del firewall:
Hay
TCP
UDP
TCP/UDP
ICMP
ESP
AH
GRE
IPV6
IGMP
PIM
OSPF
SCTP
any
CARP
PFSYNCCuriosamente sí hay protocolo para OSPF (que es un protocolo de enrutamiento muy usado en Cisco), ergo tienes que poner any, para que pase el tráfico bajo el protocolo MPLS
Me alegro que se haya solucionado, gracias a ti también pues también he aprendido :)
Salu2
-
Buen día Amigos
Hay que hacer unas aclaraciónes:
- En realidad MPLS opera en las capas 2 y 3 del modelo OSI
- Ningún proveedor ofrece MPLS punto a punto, es un tema de marketing, puesto que es demasiado costoso, en realidad tu tráfico es etiquetado utilizando MPLS en el core de la red de tu ISP, y se vale de sistemas de transmisión como lo es metroethernet, o DWDM, SDH entre otros, y como MPLS se puede combinar con todas estas tecnologías.
- La regla que creaste está bien, es como si fuera otra interfaz LAN.
-
Hola
Aleximper, he corregido lo de que MPLS trabaje en capa 3 y 4, es 2 y 3, los nºs a veces bailan :) … gracias.
Lo que sí tengo claro es que MPLS es el sustituto a FrameRelay (por lo menos esa es la tendencia de los ISPs)
Salu2