Pasar LAN NET por Firewall PFSense

j.sejo1

@sonerzin TU Fortinet hace el enrutamiento intervlan o existe un equipo capa 3?

sonerzin

@j-sejo1 Como podría saber eso?? Lo gestiona la compañia,pero tengo acceso y puedo mirarlo.

j.sejo1

Cuando un equipo hace enrutamiento intervlan, quiere decir que controla el trafico entre los segmentos "por lo general de usuarios".

Por ej: para ir del PC de administracion para la PC de contabilidad, son diferentes vlan, pero no suben al Firewall para comunicarte. Este escenario hace que si el firewall se cae, la comunicacion LAN sigue activa, incluso servidores básicos como dhcp, dns dominio, correo, etc, por lo general yo lo coloco bajo segmento LAN fuera del firewall con esta finalidad. Lo único que fallaría es internet.

Pero si el enrutamiento intervlan lo hace el Firewal (el que sea). Cuando este se cae. todo muere.

sonerzin

@j-sejo1 said in Pasar LAN NET por Firewall PFSense:

Cuando un equipo hace enrutamiento intervlan, quiere decir que controla el trafico entre los segmentos "por lo general de usuarios".

Por ej: para ir del PC de administracion para la PC de contabilidad, son diferentes vlan, pero no suben al Firewall para comunicarte. Este escenario hace que si el firewall se cae, la comunicacion LAN sigue activa, incluso servidores básicos como dhcp, dns dominio, correo, etc, por lo general yo lo coloco bajo segmento LAN fuera del firewall con esta finalidad. Lo único que fallaría es internet.

Pero si el enrutamiento intervlan lo hace el Firewal (el que sea). Cuando este se cae. todo muere.

@j-sejo1 este jueves pasado tuve que solicitar el reinicio del firewalls fortinet y lo único que pasó es que fallaba era Internet pero la lan funcionaba a la perfección. Esto que te sugiere? Muchas gracia por la ayuda!!

j.sejo1

@sonerzin Si, pero siempre y cuando tengas diferentes segmentos:

192.168.5.0/24
192.168.6.0/24
192.168.7.0/24
192.168.8.0/24
etc

Es decir diferentes segmentos. Si puedes entrar en el fortinet te podrar dar cuenta de la conf sin la necesitad de reiniciar.

sonerzin

@j-sejo1 Mis segmentos son:
Sede fortinet: 192.168.0.1
Sede1: 192.168.1.0/24
Subsede1: 192.168.5.0/24
Sede2: 192.168.2.0/24
Sede3: 192.168.3.0/24

sonerzin

@j-sejo1 Si quito el fortinet, (por ejemplo: lo apago) como podría hacer que el gateway 192.168.x.1 saliera por los PFSENSE's 192.168.x.7??

j.sejo1

@sonerzin Ya es un tema en el equipo capa3.

Al decirme que al apagar el fortinet lo único que fallo fue el internet, pero las VLAN si tenían comunicación, entonces quiere decir que tu enrutamiento intervlan no lo hace el firewall sino el equipo capa 3.

En el equipo capa3, debe existir una regla que lo que no conozca (0.0.0.0) lo pase por el fortinet. Eso es lo que da salida a Internet u otras redes controladas por el fortinet.

Para hacer que cuando el firewall (fortinet) esta down, el trafico se vaya al Pfsense, debe ser en el equipo capa 3.

Bien sea editando la regla actual (que todo lo que no conozca se vaya ahora por el pfsense), o algo que lo haga automático. Pero repito, ya que es en equipo capa3 que te hace el enrutamiento intervlan .

sonerzin

Después de un mes por falta de tiempo y haciendo pruebas, mi isp me comentó que debería hacer estos cambios en mi router(192.168.1.1)...

Spoiler

Cambios a realizar:

En el equipo central_inet_ppal#
Hay que añadir rutas por defecto:
ip route-static 192.168.0.0 255.255.0.0 GigabitEthernet0/0/1 172.16.1.250 description RUTA_VPN
ip route-static 10.0.0.0 255.0.0.0 GigabitEthernet0/0/1 172.16.1.250 description RUTA_VPN
ip route-static 172.16.0.0 255.240.0.0 GigabitEthernet0/0/1 172.16.1.250 description RUTA_VPN

En el equipo central_vpn_ppal#
Hay que cambiar LAN:
Ip address 172.16.1.250 255.255.255.0

Hay que añadir ruta hacia LAN:
Ip route 192.168.1.0 255.255.255.0 Vlanif1 172.16.1.254

Hay que cambiar export de BGP (CONNECTED por STATIC)
No ip prefix-list CONNECTED2BGP seq 5
ip prefix-list STATIC2BGP seq 5 permit 192.168.1.0/24

Hay que añadir CONNECTED para la nueva LAN:
ip prefix-list CONNECTED2BGP seq 5 permit 172.16.1.0/24
ip prefix-list anuncio-PE_VPN-MPLS_out seq 15 permit 172.16.1.0/24

En el FW PFSENSE, en la pata LAN:
Hay que cambiar la LAN 192.168.1.7 por 192.168.1.1

Después de hacer todo esto, fue bien la salida d e Internet pero la VPN no se entendía... Se ve que la nueva IP del router ISP (172.16.1.250) no se entendía con el pfsense.. (192.168.1.1 después del cambio).
No supe redireccionar la VPN ni que hacer en realidad... No sé entendían.. Al final lo eché todo para atrás ya que no funcionó... Y estoy desesperado.
Decir que cada cambio tengo que llamar al ISP para que lo hagan ya que el router de ISP se encargan ellos.

Tengo un lío en la cabeza que no se por donde tirar

No consigo que funciona VPN/Wan...

A ver si me podéis echar una mano. Si no entendéis algo decídmelo e intento explicarlo mejor.

Gracias.

BrujoNic

El mayor problema que tenes ahí, es tu ISP que lleva el control TOTAL de tu red y debes pedirle permiso para todo. Debes configurar tu servidor de VPN en el pfSense similar a como estaba antes. No sé si era el equipo capa 3 o que. Debes ser claro si la conexión VPN es Site to Site o Cliente VPN a servidor VPN.

Para todo eso, necesitas abrir puertos y si el ISP te bloquea o atiende cuando le da la gana, pues estas fregado por ese lado. A fuerza, la IP que te suministra debe ser publica y fija.

Sería mejor que colocaras un esquema de tu red y la forma en que tenes configurada la misma.

sonerzin

Tenía una guardada en el móvil, y la he modificado con un editor para que sea más real.

LA IP pública es fija en todas las sedes. Cada sede es una ciudad diferente con un pfsense que los tengo conectados con OpenVPN.