Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problemas de enrutado

    Español
    2
    3
    2.2k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      ejml
      last edited by

      Hola amigos!

      He configurado una DMZ con dos firewalls, el que da a la LAN es un equipo con vyatta el que da a internet es un pfsense. El vyatta enruta el tráfico de la LAN y sólo dejo pasar los protocolos que a mí me interesa. En medio de la DMZ tengo un proxy, parece ser que todo lo que pasa por el proxy funciona sin problemas, pero lo que cruza la dmz de firewall a firewall no funciona bien. Por ejemplo, si hago ping desde un equipo de la LAN me da tiempo de espera agotado, si hago ping desde el primer firewall si que hay respuesta. Por otro lado haciendo una captura de paquetes en pfsense, sobre la interface WAN, he comprobado que cuando hago el ping desde el vyatta veo tráfico ICMP, sin embargo si lo hago desde cualquier equipo de la LAN, no hay tráfico ICMP sobre dicha interface. Creo que el problema está en alguna regla de enrutado o en el cortafuegos de pfsense.

      Me podeis echar una mano

      1 Reply Last reply Reply Quote 0
      • M
        maaraujo
        last edited by

        No entiendo tu configuración. ¿Puedes incluir un diagrama?.

        Miguel Ángel Araujo
        México

        1 Reply Last reply Reply Quote 0
        • E
          ejml
          last edited by

          Hola Miguel Ángel,

          Decirte que ya lo solucioné, estoy usando una screened subnet, si miras en internet hay cientos de diagramas sobre esto. Se trata de una configuración donde la DMZ está flanqueado por dos routers/cortafuegos, uno de ellos da a la red insegura (internet), el otro está conectado a la LAN interna, la porción de red física que queda entre ambos routers es la screened subnet (DMZ). Aquí es donde se configuran los Hosts Bastions.

          Después de toda esta verborrea, decirte que lo he solucionado, y el problema es mi poca experiencia con pfsense, resulta que el asistente configura una red por defecto para dejar pasar el grupo de IP de la red local y lo llama "LAN subnet" o algo así. El problema es, parece ser, que esta subred la construye en base a la dirección de red de la interfaz que está conectada a la screened subnet, y esta dirección de red es distinta a la dirección de red de la LAN Interna. Mi primer router que da a la LAN no hace NAT (ni falta que hace), está enrutando, por tanto a pfsense llegan los paquetes capa 3 con las direcciones de red de mi LAN. En definitiva que el firewall de pfSense se está comiendo los paquetes con patatas ya que no tenía una regla que permitiese dichos paquetes.

          Saludos

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.