Conexão entre redes mpls + internet no pfsense

Hammerhand

Perfeito Douglas e obrigado por esclarecer minhas duvidas,

Att,
Anderson

thiagom

@hammerhand Olá... a recomendação como cenário ideal é você reestruturar toda sua rede MPLS, fazendo isolamento da rede MPLS em todas as pontas.
Exemplo: segmenta toda estrutura MPLS em uma rede que não pertence as redes LAN.

Situação atual:

Não está estabelecendo comunicação entre clientes das filiais com Matriz. A comunicação via tráfego TCP não fecha.
O tráfego sai das filiais, direto pela rota MPLS, porém o retorno não está sendo pelo mesmo caminho.
OBS: ping (icmp) e outros testes funcionam, mas acesso aplicação via TCP ocorrem os problemas relatados

*** Filial: origem 192.168.0.x > destino 192.168.1.9

Rota de ida:
192.168.0.x > 192.168.0.254 (MPLS) > 192.168.1.254 (MPLS) > 192.168.1.9

*** Matriz: Retorno dos pacotes:
192.168.1.9 para devolver pacote para PC da Filial (192.168.0.x)

192.168.1.9 > 192.168.1.1 (GW) > 192.168.1.254 (MPLS) > 192.168.0.254 (MPLS) > 192.168.0.x

Portanto, quando servidores da Matriz (192.168.1.x) precisam retornar comunicação com destino Filial (192.168.0.x), como desconhecem essa rede destino, encaminham os pacotes para o gateway (pfsense 192.168.1.1) e não para IP MPLS (192.168.1.254)

Resumo: pacote tem um caminho de ida e não recebe retorno correto devido estrutura de rede atual.

OBS: Provavelmente se verificar LOGs do Firewall, deve ter vários pacotes TCP sendo dropados. Veja menu status > system.log > firewall

Acredito que esse seja a causa raiz do problema. Você consegue confirmar tudo se rodar monitoramento (tcpdump) nas 2 pontas.

Veja se consegue reorganizar as redes MPLS para solução:

Exemplo de Novo cenário MPLS:
Matriz: 192.168.10.254
Unidade1: 192.168.20.254
Unidade2: 192.168.30.254
Unidade3: 192.168.40.254

pfSense: Rede MPLS
Matriz: 192.168.10.1
Unidade1: 192.168.20.1
Unidade2: 192.168.30.1
Unidade3: 192.168.40.1

pfSense: Rede LAN
Matriz: 192.168.1.1
Unidade1: 192.168.0.1
Unidade2: 192.168.2.1
Unidade3: 192.168.3.1

Com esse cenário, obrigatoriamente todos seu tráfego deve passar pelo pfSense (gateway), e não ter mais problemas de roteamento.
Inclusive caso desejar futuramente, seu ambiente já fica preparado para ter redundância de comunicação entre as unidades.
Ex: rota 1: MPLS, rota 2: túnel VPN1, rota 3: túnel VPN2, etc... (todos caminhos possíveis com redundância e mudança automática de rota em caso de falha da rota principal)

OBS: Como tentativa de solução de contorno:
Ative opção: "Static route filtering" no menu system > advanced > firewall & nat
Realize novos testes.

Lembrando, feito a recomendação da reestruturação das redes, não deverá mais persistir os problemas.

marcelloc

Roteamento assimétrico sempre da dor de cabeça.
Via dhcp é possível empurrar rotas estáticas para as estações. Dessa forma o tráfego entre as redes MPLS ficaria "corrigido".

Veja a possibilidade com a operadora da implementação do VPLS. Nela você consegue ter todos os firewalls das pontas compartilhando um mesmo segmento de rede entre eles. Com isso você implementa a rede a comunicação entre as redes com muito mais facilidade e liberdade.

Hammerhand

@thiagom Obrigado pela dica, ja estou desenhando o diagrama para poder definir a implantação dos ajustes, a princípio estamos efetuando o ajuste na matriz, mas futuramente iremos implantar nas unidades para melhoria e segurança da rede.

Att,
Anderson

thiagom

@hammerhand certo! Só para finalidade de testes e como solução de contorno, no seu servidor Matriz que roda as aplicações você pode adicionar 1 rota estática.

Exemplo:

route add 192.168.0.0 mask 255.255.255.0 192.168.1.254

Com isso, roda testes novos, o tracert irá mudar e assim em teoria os acessos remotos devem normalizar devido não ter falhas de roteamento.

Você estaria forçando passar tráfego por fora do firewall, sendo encaminhado direto para MPLS. Mas pode fazer isso de formas diferentes ajustando a regra da rota estática.

Lembrando que cenário ideal é conforme todos recomendaram acima. Faz organização para segmentar todas MPLS em rede distinta da LAN.

Hammerhand

Bom dia,
Consegui estabilizar os acessos efetuando as orientações de vcs, porém das outras unidades eu não consigo pingar para a matriz, e nem navegar na internet nas unidades
Alguém pode me dar uma luz, não consigo nem conectar no servidor de arquivos e acesso ao ts das unidades.

thiagom

Ótimo dia!

Envia mais detalhes de como ficou sua topologia. Redes LAN, MPLS, gateway das redes? E resultado atual do tracert filial para matriz e vice versa.

Hammerhand

Boa tarde,

No inicio da implantação estava com problemas de comunicação de retorno das unidades para a matriz, não conseguia pingar para os servidores e nem acesso ts a eles, não havia acesso aos compartilhamentos de arquivos e acesso à internet.
Lembrei de um post onde mencionava criar uma regra no Floating no rulles do Firewall, após ter criado esta regra o problema foi solucionado e todas as unidades conseguiram navegar na internet, ping normalizou e os acessos as pastas compartilhadas voltou a funcionar assim como o acesso ts aos servidores da Matriz.

Efetuei as orientações de vocês aqui no fórum e foram de grande ajuda, segue como ficou o cenário e o que efetuei para que os acessos ficassem estáveis.

Redes:
Rede MPLS: gw >> 192.168.10.254 - IP placa de rede (pfSense)>>192.168.10.1
MATRIZ: IP pfSense >> 192.168.1.1(LAN)
Unidade 1: 192.168.0.254
Unidade 2: 192.168.2.254
Unidade 3: 192.168.3.254

Obrigado pela ajuda!!!

Att,
Anderson

Hammerhand

Bom dia,
Alguém sabe me dizer se o pfsense interfere nas comunicações dos compartilhamentos ?

thiagom

@hammerhand ótimo dia!
Se for uma comunicação localmente entre 1 host e seu servidor dentro da mesma rede, não passa tráfego para pfSense.

Se for uma comunicação para redes remotas, irá passar tráfego e pode ter interferir no sentido de bloquear. Mas é só ajustar as regras de firewall necessárias para acessar seus compartilhamentos como desejado.

Você está enfrentando problemas para acessar compartilhamento? Qual erro recebe? Além de firewall, outras variáveis podem interferir nessa comunicação, como exemplos, seu próprio servidor remoto com firewall nativo ou antivírus.

Hammerhand

This post is deleted!

Hammerhand

@thiagom O que ocorre é que os compartilhamentos ora acessam normalmente, ora perdem o acesso dizendo q o usuário não tem permissões, agora pela manhã fiz um teste, retirando o computador do domínio e ingressando novamente e até o momento está funcionando normalmente para essas máquinas, o que não consigo entender o pq disso estar ocorrendo em algumas máquinas apenas.
O firewall do servidor está desativado, anti-virus está configurado, mas isto começou a ocorrer antes de instalarmos ele, ja estamos cogitando refazer o servidor de arquivos pra evitarmos transtornos, porém estamos em duvida se o AD possa estar causando o problema ?
Outra questão que esta ocorrendo é sobre o ipv6 todas as máquinas da rede que não estavam com o ipv6 ativado não estavam acessando a internet na maioria dos sites, aí quando ativamos ele navega normalmente.

Att,

Hammerhand

@hammerhand Bom dia jovens, desculpe pela demora de um retorno referente a este post, mas enfim nosso firewall esta estabilizado, com proxy ativo e efetuando testes para ativar a interceptação ssl, quero agradecer a todos que colaboraram na resolução dos problemas pontuados.

Att,

fernando_mlc

@marcelloc Com a configuração de mudar para VPLS, não se tonar necessário segmentar rede.

Tipo, deixar o pfsense em outra rede do MPLS, que não vai ter mas perca de pacote?

marcelloc

@fernando_mlc , o vpls foi só uma sugestão para resolver a questão do roteamento assimétrico.