Conexão entre redes mpls + internet no pfsense
-
Boa tarde,
Sou novo no pfsense e estou tendo problemas com a comunicação entre minhas redes mpls, consegui fazer o roteamento entre elas, porém a conexão com acesso TS do windows, conexão remota através do vnc e conexões com nosso sistema ficam instáveis e caem a cada 15 segundos e não consigo distribuir internet entre elas também.
Cenário
Redes:
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24todas tem que se acessar entre si, até aí consegui fazer este roteamento, porém fica instável.
Alguém poderia me dar uma luz sobre o que possa estar fazendo de errado ?
Att,
Anderson -
@hammerhand Tudo bem Anderson? Você possui pfSense nas suas outras pontas?
Quais os IPs LAN dos Gateways MPLS e do pfSense?Atenciosamente,
Douglas Ferreira -
@chinaina
Bom dia, então temos somente na matriz, estamos querendo mudar o firewall antigo para o pfsense.Então, temos um link mpls para cada unidade que são 4: Matriz, Unidade1, Unidade2 e Unidade 3, ambas tem seu gateway:
Matriz: GW >192.168.1.254
Unidade1: GW>192.168.0.254
Unidade2: GW>192.168.2.254
Unidade3:GW>192.168.3.254Ontem efetuei mais um teste das configurações que ajustei nas regras de firewall, e agora está assim, consegui estabilizar o acesso TS Windows(RDP), porém o sistema da empresa e o acesso remoto pelo vnc continuam instáveis, o acesso a internet consegui distribuir para as outras redes, consigo pingar para todos os ips das outras redes para o 192.168.1.1(matriz) e vice versa, porém não consigo acessar pastas compartilhadas e nem acesso remoto das outras redes para 192.168.1.1 mesmo pingando entre elas.
Att,
Anderson -
@hammerhand Anderson, como esta a topologia de rede da sua matriz?
O gateway MPLS esta conectado diretamente no pfSense ou esta em algum switch?Tente mandar um esboço da topologia da sua matriz ou um tracert da MATRIZ > FILIAL X e FILIAL X > MATRIZ
-
O link mpls está conectado no switch.
Ai no pfsense estão conectados 2 links de internet e a conexão LAN que vai para o switch.
-
Douglas segue um tracert efetuado da rede matriz para a rede da unidade1 como exemplo, esse no nosso firewall antigo e esta funcionando corretamente.
-
Efetuei um tracert da unidade1 para a Matriz
-
@Hammerhand Anderson,
Veja que no teste de rota da Unidade1 para Matriz, a conexão não passa pelo pfSense, mas no teste da Matriz para a Unidade1, a conexão passa.
Isso é problema de rota assimétrica, que ocasiona as perdas de pacote/conexão e etc.
Devido o Gateway MPLS da Matriz, ter um endereço IP que pertence a sua faixa de rede, ele já conhece todos os seus hosts pela tabela ARP e não redireciona o tráfego para o pfSense.Você vai precisar fazer o seguinte:
- Disponibilizar mais uma interface de rede no seu pfSense, para conectar o Gateway MPLS diretamente nele.
- Entrar em contato com o suporte da operadora do MPLS, para que ele alteram o IP/faixa de rede do equipamento deles, que esta na sua Matriz e reconfigurem as rotas (Isso é total responsabilidade deles).
- Configurar o IP e o Gateway que a operadora disponibilizar, na nova interface de rede do pfSense e apontar nas rotas estáticas para esse novo IP/Gateway.
O problema certamente será resolvido. Já tive um caso desse e foi solucionado com essas alterações.
-
Obrigado Douglas,
Entendi o procedimento, tenho uma dúvida, se formos colocar um pfsense em cada unidade, o procedimento teria de ser o mesmo que vc informou ?
Att,
Anderson -
@hammerhand said in Conexão entre redes mpls + internet no pfsense:
Obrigado Douglas,
Entendi o procedimento, tenho uma dúvida, se formos colocar um pfsense em cada unidade, o procedimento teria de ser o mesmo que vc informou ?
Att,
Anderson@Hammerhand
Exatamente Anderson!
Se você tem planos de colocar pfSense nas suas unidades, você deverá realizar o mesmo procedimento. -
Só mias uma duvida, todos os servidores de acesso estão na rede matriz, como dns, dhcp, file server, etc., efetuando esta mudança ainda continuo funcionando normalmente correto ?
Tipo distribuindo ip's para as outras unidades daqui, dns, e acesso aos compartilhamentos tbm.
Desculpa as dúvidas, mas estou começando agora nessa empreitada então só o básico de conhecimento ajuda mas não finaliza o processo srsrsr.
Obrigado pela força !!!
Att,
Anderson -
@hammerhand said in Conexão entre redes mpls + internet no pfsense:
Só mias uma duvida, todos os servidores de acesso estão na rede matriz, como dns, dhcp, file server, etc., efetuando esta mudança ainda continuo funcionando normalmente correto ?
Tipo distribuindo ip's para as outras unidades daqui, dns, e acesso aos compartilhamentos tbm.
Desculpa as dúvidas, mas estou começando agora nessa empreitada então só o básico de conhecimento ajuda mas não finaliza o processo srsrsr.
Obrigado pela força !!!
Att,
Anderson@hammerhand
Se você configurar as rotas de rede e regras de Firewall corretamente, irá funcionar. -
Perfeito Douglas e obrigado por esclarecer minhas duvidas,
Att,
Anderson -
@hammerhand Olá... a recomendação como cenário ideal é você reestruturar toda sua rede MPLS, fazendo isolamento da rede MPLS em todas as pontas.
Exemplo: segmenta toda estrutura MPLS em uma rede que não pertence as redes LAN.Situação atual:
Não está estabelecendo comunicação entre clientes das filiais com Matriz. A comunicação via tráfego TCP não fecha.
O tráfego sai das filiais, direto pela rota MPLS, porém o retorno não está sendo pelo mesmo caminho.
OBS: ping (icmp) e outros testes funcionam, mas acesso aplicação via TCP ocorrem os problemas relatados*** Filial: origem 192.168.0.x > destino 192.168.1.9
Rota de ida:
192.168.0.x > 192.168.0.254 (MPLS) > 192.168.1.254 (MPLS) > 192.168.1.9*** Matriz: Retorno dos pacotes:
192.168.1.9 para devolver pacote para PC da Filial (192.168.0.x)192.168.1.9 > 192.168.1.1 (GW) > 192.168.1.254 (MPLS) > 192.168.0.254 (MPLS) > 192.168.0.x
Portanto, quando servidores da Matriz (192.168.1.x) precisam retornar comunicação com destino Filial (192.168.0.x), como desconhecem essa rede destino, encaminham os pacotes para o gateway (pfsense 192.168.1.1) e não para IP MPLS (192.168.1.254)
Resumo: pacote tem um caminho de ida e não recebe retorno correto devido estrutura de rede atual.
OBS: Provavelmente se verificar LOGs do Firewall, deve ter vários pacotes TCP sendo dropados. Veja menu status > system.log > firewall
Acredito que esse seja a causa raiz do problema. Você consegue confirmar tudo se rodar monitoramento (tcpdump) nas 2 pontas.
Veja se consegue reorganizar as redes MPLS para solução:
Exemplo de Novo cenário MPLS:
Matriz: 192.168.10.254
Unidade1: 192.168.20.254
Unidade2: 192.168.30.254
Unidade3: 192.168.40.254pfSense: Rede MPLS
Matriz: 192.168.10.1
Unidade1: 192.168.20.1
Unidade2: 192.168.30.1
Unidade3: 192.168.40.1pfSense: Rede LAN
Matriz: 192.168.1.1
Unidade1: 192.168.0.1
Unidade2: 192.168.2.1
Unidade3: 192.168.3.1Com esse cenário, obrigatoriamente todos seu tráfego deve passar pelo pfSense (gateway), e não ter mais problemas de roteamento.
Inclusive caso desejar futuramente, seu ambiente já fica preparado para ter redundância de comunicação entre as unidades.
Ex: rota 1: MPLS, rota 2: túnel VPN1, rota 3: túnel VPN2, etc... (todos caminhos possíveis com redundância e mudança automática de rota em caso de falha da rota principal)OBS: Como tentativa de solução de contorno:
Ative opção: "Static route filtering" no menu system > advanced > firewall & nat
Realize novos testes.Lembrando, feito a recomendação da reestruturação das redes, não deverá mais persistir os problemas.
-
Roteamento assimétrico sempre da dor de cabeça.
Via dhcp é possível empurrar rotas estáticas para as estações. Dessa forma o tráfego entre as redes MPLS ficaria "corrigido".Veja a possibilidade com a operadora da implementação do VPLS. Nela você consegue ter todos os firewalls das pontas compartilhando um mesmo segmento de rede entre eles. Com isso você implementa a rede a comunicação entre as redes com muito mais facilidade e liberdade.
-
@thiagom Obrigado pela dica, ja estou desenhando o diagrama para poder definir a implantação dos ajustes, a princípio estamos efetuando o ajuste na matriz, mas futuramente iremos implantar nas unidades para melhoria e segurança da rede.
Att,
Anderson -
@hammerhand certo! Só para finalidade de testes e como solução de contorno, no seu servidor Matriz que roda as aplicações você pode adicionar 1 rota estática.
Exemplo:
route add 192.168.0.0 mask 255.255.255.0 192.168.1.254
Com isso, roda testes novos, o tracert irá mudar e assim em teoria os acessos remotos devem normalizar devido não ter falhas de roteamento.
Você estaria forçando passar tráfego por fora do firewall, sendo encaminhado direto para MPLS. Mas pode fazer isso de formas diferentes ajustando a regra da rota estática.
Lembrando que cenário ideal é conforme todos recomendaram acima. Faz organização para segmentar todas MPLS em rede distinta da LAN.
-
Bom dia,
Consegui estabilizar os acessos efetuando as orientações de vcs, porém das outras unidades eu não consigo pingar para a matriz, e nem navegar na internet nas unidades
Alguém pode me dar uma luz, não consigo nem conectar no servidor de arquivos e acesso ao ts das unidades. -
Ótimo dia!
Envia mais detalhes de como ficou sua topologia. Redes LAN, MPLS, gateway das redes? E resultado atual do tracert filial para matriz e vice versa.
-
Boa tarde,
No inicio da implantação estava com problemas de comunicação de retorno das unidades para a matriz, não conseguia pingar para os servidores e nem acesso ts a eles, não havia acesso aos compartilhamentos de arquivos e acesso à internet.
Lembrei de um post onde mencionava criar uma regra no Floating no rulles do Firewall, após ter criado esta regra o problema foi solucionado e todas as unidades conseguiram navegar na internet, ping normalizou e os acessos as pastas compartilhadas voltou a funcionar assim como o acesso ts aos servidores da Matriz.Efetuei as orientações de vocês aqui no fórum e foram de grande ajuda, segue como ficou o cenário e o que efetuei para que os acessos ficassem estáveis.
Redes:
Rede MPLS: gw >> 192.168.10.254 - IP placa de rede (pfSense)>>192.168.10.1
MATRIZ: IP pfSense >> 192.168.1.1(LAN)
Unidade 1: 192.168.0.254
Unidade 2: 192.168.2.254
Unidade 3: 192.168.3.254Obrigado pela ajuda!!!
Att,
Anderson
