Problemas con broadcast netbios inter-vlan (pfsense es el enrutador)
-
Hola
Explico el escenario.
Se tenia una red plana sencilla con 172.16.0.0/16 DHCP y un proxy que daba salida a internet.
Se compraron 4 swtich HP, lo cuales, el primero hace de core y maneja la vlan de servidores y los otros 3, vlan1, vlan2 y vlan3.
Pfsense se implemento para que maneje el enrutamiento entre las vlans, es decir es el el GW para la vlan de servidores así como para las vlans 1, 2 y 3.
Después de este cambio, solo tengo 2 problemas:
-
No pude seguir haciendo DHCP en el Directorio Activo (AD). Por mas que utilice DHCP-Relay, no funciono, la petición llegaba al AD, pero el ultimo paso en el cliente DHCPACK, faltaba. Por tal motivo tuve que activar el DHCP-DNS en el Pfsense. Este tema no me preocupa mucho.
-
Al intentar unir una nueva maquina en el dominio, no se llega a la autenticación, da error de nombre DNS a nivel de netbios (el famoso error de microsoft windows).
Los equipos que ya estaban en el dominio, siguen logueandose sin problemas.
Pruebas para descartar:
Coloque un PC en en segmento de servidores (donde esta el AD) y trate de unir el PC al dominio y bingo, si funciono. Las reglas para los 4 segmentos estan identicas, es decir todavia no me he puesto a cerrar acceso, por tal motivo todo esta * * * * . Me puedo poner en cualquier vlan y le llego a todo…. por ahora jejejeje .
En el DHCP del Pfsense, tengo parametros como dominio, dominio de busqueda y el famoso wins server.
Relaciono el problema 2 con el problema 1 del DHCP.
Leyendo y leyendo caí en igmp proxy. No se si por alli van los tiros, que seria algo de multibroadcast, en este caso, paquetes netbios.
Los Switches son HP 1920. he buscado por varias opciones pero no lo consigo. Inclusive, no pudimos lograr que el enrutamiento intervlan lo hiciera el switch. (con cisco es otra historia)
Atento a sus comentarios.
Saludos.
-
-
Hola
Imagino que tienes reglas entre las redes para que dejen pasar el tráfico smb/ms-smb/netbios
https://doc.pfsense.org/index.php/Example_basic_configuration#Example_of_a_basic_lock_down_of_the_LAN_and_DMZ_out_going_rulesTo allow LAN to access windows shares on the DMZ, allow NETBIOS/Microsoft-DS from the LAN to the DMZ
Allow TCP/UDP 137 from LAN subnet (NETBIOS) to DMZ subnet
Allow TCP/UDP 138 from LAN subnet (NETBIOS) to DMZ subnet
Allow TCP/UDP 139 from LAN subnet (NETBIOS) to DMZ subnet
Allow TCP 445 from LAN subnet (NETBIOS) to DMZ subnetOtra cosa que "ayuda" es en DNS Resolver del pfSense tener un Domain Override para el dominio del servidor AD de MS.
Es decir por ejemplo, para el dominio midominio.local, donde la IP del servidor DNS (suele coincidir con el controlador de dominio) de ese dominio es 10.1.2.3Domain override: midominio.local <--> 10.1.2.3
Casi todos los problemas con un AD/DC , a parte de reglas del firewall, tienen mucho que ver con el DNS.
Salu2
-
Bueno, después de varias pruebas de descarte.
- Pusimos un router cisco para que enrute las VLANS: misma falla, tanto en DHCP como en AD.
- Dejamos solo al Switch HP que enrute: Se arregla DHCP, pero sigue falla del AD.
Con lo anterior tenemos una conclusión: el Switch capa3 de HP como que no acepta el DHCP relay cuando se le coloca un enrutador por encima (caso pfsense y cisco).
Con lo del Active Directory, si ya es algo que deben indagar en el servidor, ya que por comando la maquina de une al dominio. Lo que nos lleva a la idea de que el AD al segmentar la RED no conoce esos segmentos. Entonces en la configuracion del AD debe haber algo donde uno le diga que acepte X redes.
Descartamos DNS, ya que las PC estando en el mismo segmento si se unen, Inclusive lo mas loco: Unes la maquina al dominio en la misma vlan del servidor y luego te la llevas a otra vlan y se puede iniciar sesion, ver recursos compartidos etc.
Por los momentos, caso cerrado y las maquinas para unirlas al dominio en otra vlan, se hace por shell.
Gracias javcasta por las recomendaciones.
-
Hola j.sejo1
Te cuento mi experiencia para el AD atravez del pfsense
- crea una regla que permita todo el trafico desde los equipos de la lan/Equipos Clientes hacia el servidor (Despues puedes ir ajustandolo)
- El servidor DNS que tiene configurado los equipos clientes debe concocer o tener el registro de dominio de tu AD o ip del servidor, para cuando hagas un nslookup sobre el dominio el equipo cliente sepa donde ir
- debes debes habilitar el servidor wins del AD y configuralor en cada cliente para que pueda encontrar el AD y poder loguearse contra el
** En mi caso tengo 2 AD usando samba y Win Server para unos 500 clientes en 2 sedes diferentes y pasan atravez de 2 pfsense, cuentame como te fuie para colaborarte
-
Si gracias.
Todas esas pruebas las he hecho y nada.
No tengo experiencia con AD, pero si tengo mucha experiencia con samba como pdc y openldap.
Lo ultimo que puedo hacer para poder decir con base: que al AD le falta algo para las redes nuevas (vlan) es montar un samba como pdc y tratar de unir la maquina al dominio.
Saludos.
-
Hola
Quien es el servidor DNS,? Y que servidor DNS tienes configurado los equipos clientes?
-
El Servidor DNS es el mismo AD.
Y los PC mediante el DHCP entrega como dns principal, la ip del AD.
Saludos.
-
Perfecto, tienes habilitado servidor wins en el servidor AD y configurado en el PC cliente?
-
Si todo eso.
Para mi el problema lo tiene el AD, ya que el AD cuando se instalo por primera vez, la red era plana 172.16.0.0/16
Luego de la segmentación, todo paso a ser 172.16.0.0/24 (servidores) y las vlans de usuario 10.29.2.0/24 10.29.3.0/24 10.29.4.0/24 …...
Tu unes una maquina en el dominio si estas en la red 172.16.0.0/24 , pero luego te la llevas (el pc) a una vlan y trabaja normal, inician sesión los usuarios, se ven los recursos compartidos, impresoras, etc.
Es solo eso, la acción de poderla unir al dominio (net join) estando en la vlan de usuario.
Hemos habilitado subredes en el AD, etc. y nada,
Cuando demos con la solución publico por aquí cual era el problema.
Pero estoy 100% seguro, que el Pfsense no es.
Saludos.