Loop en el acceso a Internet en Pfsense
-
Buen día
Lo que yo haría, sería ubicar a pfsense en la función del TPlink, y del switch de core, que el pfsense se encargue de administrar las VLAN y los enrutamientos, y que el switch de core sea solo en capa 2. además si se requiere algo especial en el balanceo pues deja el tplink como balanceador, sino deja que el pfsense lo hace muy bien.
-
Gracias por las respuestas chicos.
Yo he intentado conectar el Pfsense en el papel del TpLink. Ese fue mi primer intento de meter el Pfsense en la configuración, y la red empezó a dar serios problemas. El internet fallaba de manera alarmante, y en el foro inglés indagando alguien menciona lo de la vlan exclusiva para evitar problemas de sincronía por doble enrutamiento.También pensé lo de dejar los swiches en capa 2 y solo dejar el enrutamiento de las vlans y del internet en Pfsense, pero me ha dado algo de miedo pues sería ya cambiar la configuración presente y que funciona en la empresa para ponerme a experimentar…
-
Qué problemas te daba la red con el pfsense en el papel del TpLink? Pq considero que es el mejor escenario, el pfsense es mucho mas configurable que el tplink.
El pfsense maneja VLANS, pero necesariamente se debe usar un switch capa 3 para que se pueda interactuar con dispositivos finales, los terminales por defecto no "entienden" etiquetas 802.1Q, que es la que se usa en el pfsense para manejar VLANs, sólo algunos dispositivos especiales, como teléfonos VoIP.
Por ejemplo, según tu topología, el puerto FA43 pertenece a la VLAN2 modo UNTAGGED (sin etiqueta, para computadoras por ejemplo) y a la VLAN4 modo TAGGED (con etiqueta para comunicarse con el telf IP, al telf tmb hay que configurarlo para que trabaje con la etiqueta 802.1Q de la VLAN4)
Actualmente tengo implementado un pfsense con 4 interfaces WAN y 1 LAN (5 interfaces en total), con un switch capa 3, todo esto por una única interfaz ethernet física, en un switch capa 2 no sería viable tener los 4 accesos a internet y todas las computadoras de la red local, sería un desastre cada computadora agarrando la ip de cualquier ISP xD.
No me comentaste si el tplink estaba en una VLAN.
-
Hola ega, gracias por tu respuesta.
En su momento, cuando puse el Pfsense en el papel del TPlink, le cargué las Vlans y sus respectivas interfaces, y cuando conecté todo, levantó bien, pero el internet empezó a comportarse de manera errática, donde varios host se quedaban sin conexión de forma intermitente.
El Tplink se encuentra actualmente en la Vlan1, que se dejó como vlan de administración. Se conecta al switch central por puerto untagged. -
Hola.
Dos comentarios hago.
En el punto 7.
- En routing, creé un gateway que fuera hacia el switch central (osea, la IP 100.0.1.10). Puse que este fuera el gateway por defecto.
Si has creado un gateway en el pfSense en su interfaz LAN, eso es erroneo. En una interfaz LAN de un firewall perimetral pfSense no se define Gateway.
- Finalmente, usé el comando de enrutamiento del switch HP para que mandaran el tráfico externo a Pfsense (en HP es ip route 0.0.0.0 0.0.0.0 100.0.1.20).
Ese comando es correcto, pero si ya habia definido una IP de gateway por defecto en el procurve, se debe primero anular ese gateway por defecto:
no ip route 0.0.0.0 0.0.0.0 ip-old-default-gateway ip route 0.0.0.0 0.0.0.0 100.0.1.20
Salu2
-
Gracias por el comentario javcasta.
En el punto 7, puse el gateway en la interfaz de la Vlan de tránsito entre el switch central y el Pfsense, no en la interfaz de LAN.
Sobre el otro punto, yo creía que al habilitar el enrutamiento en el switch procurve, ya no le paraba al gateway por defecto, Igual probé el comando que pusiste, el primero, pero no me corrió. Pude buscar por otra parte y logré borrar el default gateway por si acaso.
Ahora, por fin Pfsense me conecta a internet toda la red. Lo que faltaba era una regla de outbound Nat en WAN que dejara pasar todo.
Con esto ya me furula bien todo. ;DDe nuevo gracias por su ayuda chicos. ;D ;D ;D
-
Hola
En el comando del HP procurve:
no ip route 0.0.0.0 0.0.0.0<aqui va="" la="" ip="" del="" anterior="" o="" viejo="" degault="" gateway=""></aqui>
por ejemplo:
no ip route 0.0.0.0 0.0.0.0 192.168.1.1
Me alegro que la cosa vaya funcionando :)
Por cierto muy bien ilustrada la topología de red en el diagrama de tu post. Así da gusto leer preguntas o cuestiones en el foro.
Salu2
-
Jajajajaja, ese dibujito lo hizo la empresa que colocó la topología actual y en la que yo actualmente me estoy adaptando.
El esquema debe ser bien bonito, porque lo que cobraron no fue normal… ::) ;D -
Creo que tienes un pequeño problema que puede pasar desapercibido. El rango 100.0.1.0/16 que has elegido para la red interna es un rango de IPs publicas.
Aunque solo tendras problema de acceso a cualquier IP de internet en ese rango y puede que nunca tengas que hacerlo, a la hora de hacer pruebas en tu red puede que no sean validas. Por ejemplo, cuando hagas ping a la 100.0.1.10 y te responda no podras estar seguro de que sea la tuya, porque a mí desde casa tambien me responde esa IP y no tengo ese rango.
Te recomiendo que sigas la secuencia del resto de tu red y uses la 10.0.100.0/24 para la VLAn 100.Saludos.
-
Gracias por el aviso, enor.
Más tarde reviso eso.