Problema con las Gateway

BrujoNic

@dmp93 Buenas. Para empezar, si tenes el pfSense con 3 tarjetas de red 1 WAN y dos LAN, para qué están los router? Si los routers los vas a usar como switch o como bridge, está bien, pero el pfSense debe ser el único quien se encargue de entregar IPs a sus respectivas LAN y no los routers.

Explica eso primero por favor.

dmp93

@brujonic

Buenos días,

El pfSense tiene 2 tarjetas de red, la de la LAN (RED0) y la de la WAN (RED1) (no se si será correcto así).

En cuanto a entregar las IP, en la RED 0 está para que no se entreguen IP de forma automática (aquí si que el router está como un switch). Y en la RED 1 las IP las entrega el router. Debería de cambiarlo para que las IP las asigne el pfSense?

BrujoNic

@dmp93
Bueno, te hago un diseño informal de lo que comprendí de tu diseño, pero de la forma en que yo lo haría. Si es para un trabajo real no importa si es PYME o tamaño de la empresa, sería lo más conveniente y funcional.

Creo que estas un poco confundido con respecto a cómo hacer funcional la red y para eso, debe existir un director de orquesta. En este caso, ese director debe o debería ser el pfSense.

Primero, el equipo pfSense debería tener 4 tarjetas de red. Una para la WAN y las otras 3 para tus redes internas. Se podría usar solo 2 tarjetas de red donde una siempre sería para la WAN y la otra para la LAN, pero configurando VLANs y teniendo un SWITCH (Conmutador) administrable que maneje, lógicamente, VLANs. De esa forma, configuras las VLANs en pfSense, luego lo conectas al SWITH y este se encarga de repartir a las VLANs que le corresponda.

Continuando con el diagrama que te adjunto, dejando que pfSense administre la red por cada tarjeta de red, le podes poner las reglas correspondientes para que se comuniquen entre si o al exterior y al router del ISP, NO se debe permitir que nadie se conecte a él. Es más, tomando esa estructura, en lo personal entro al router del ISP, le desactivo el DHCP, le asigno a la WAN pfSense, una IP fija dentro del rango que repartía el router y listo. Ya si se quiere que la red sea accedida desde afuera, se puede habilitar en el router del ISP la DMZ o crear una NAT a la IP fija de la WAN pfSense con los puertos que necesite abierto o se abren TODOS y dentro del pfSense, se controla la entrada o salida de las distintas redes.

Modificando la red como esa estructura, no tendrías problemas internos de RDP o lo que sea, si controlas bien la conexión en cada una de las redes.

Así te lo resumo, ya que de la forma que lo tenes o lo que comprendí, es estar tocando configuraciones en diferentes routers, las redes no están unidas y sería más complicado.

dmp93

@brujonic

Buenos días, muchas gracias, ese es el esquema que yo tenía en mente más o menos, pero claro, al final toca amoldarse a lo que hay, quizás para el futuro si que pueda hacer ese esquema.

Sería Red 0 sin internet (bueno, con el a través del proxy de pfSense)
Red 1 con internet desde el propio router
Red 2 con internet pero en una red a parte.

Veré si puedo hacerles ver que ese es la mejor forma de plantear la red que la actual.

Actualmente el problema es la conexión por RDP, que los equipos de la Red0 conectan a la Red2 y a los pocos segundos de conectar empieza a fallar la conexión, he estado mirando los logs y me sale esto:

send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 1 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.0.254 bind_addr 192.168.0.253 identifier "RDPGW "

RDPGW 192.168.0.254: sendto error: 65

RDPGW 192.168.0.254: Clear latency 888us stddev 4026us loss 11%

Y por lo que he visto hay a mucha gente que le pasa algo del estilo, lo que ya no sé, es si es por como tengo configurado todo o si cambiándolo a como me indicas tu que sería lo ideal me funcionaría bien.

La IP del pfSense en esa red es la 192.168.0.253 y la regla que tengo puesta es que cuando hagan una conexión por RDP a la red 192.168.10.0 usen la puerta de enlace 192.168.0.254 que es la que tiene el router de la red 2 asignada como LAN en la Red 0.

Es un poco caótico como está montado esto la verdad, y sobretodo el tener que amoldarte a lo que hay.

Seguiré investigando a ver si doy con la tecla, mientras voy plantando la idea de cambiar el esquema de red. Muchas gracias. la verdad.

BrujoNic

@dmp93 No importa que red haga que. Es simplemente un esquema y las reglas del juego con el diagrama que te recomendé, lo hace el departamento de TI o tu persona si te contrataron para eso. Así que sólo con un esquema claro, acomodas las cosas como deberían ser.

¿Cuáles problemas se te van a presentar, tenés actualmente o tendrás en el futuro? Uno de ellos simple y de seguridad es que si alguien se quiere saltar las reglas de la empresa, simplemente se conectan al router del ISP, hacen los que le da la gana y van a afectar la red interna. ¿Cómo la afectarían? Al no existir control, simplemente se pueden poner a escuchar música, descargar cualquier cosa de forma directa, torrent, p2p, etc degradando totalmente la red interna. Si son equipos que están en un servidor de dominio Windows, Linux o lo que sea, van a afectarlo y así puedo seguir escribiendo más problemas de virus, ataques DDOS, troyanos, etc, etc, etc.

Te lo hago saber ya que si estás empezando ahí para ordenar las cosas y siguen con ese desorden de redes caseras y mala seguridad, lo documentes para que luego no digan que si pasa algunos de esos imprevistos, no te culpen ya que es lo que normalmente sucede.

Cuando presento (o presentaba) algún proyecto, les mostraba los pros, contras y si no aceptaban pero querían que hiciera funcional algo mal hecho, me protegía con documentos librando responsabilidades y haciendo que me lo firmaran con fecha y hora. Esos trabajos de redes, NO eran solo de pfSense el cual sólo lo implementé 3 veces, sino de redes generales de servidores Windows y Linux, aparte de otras configuraciones de redes y cableado.

Con ese comentario para que te protejas y con lo poco que logro comprender tu esquema de red, explicame dónde están esos segmentos de red?. Es en el router del proveedor que quieren acceder por RDP a la red dentro de pfSense o viceversa, o es que son dos segmentos de red controlados por pfSense?

Si es de la red del router del ISP al pfSense o viceversa, el problema podría ser lo que te he mencionado. La WAN del pfSense debería tener una IP fija configurada y configurar las reglas necesarias de la WAN, para ingresar a la LAN del pfSense.

Eso de Red0 y Red2, me confundes completamente y por eso mejor te lo pongo por dispositivos o has un nuevo esquema de red mostrando todos los escenarios y segmentos de red para saber que va hacia qué lado.

dmp93

@brujonic
Buenas, sí, haré lo que dices de documentar todo con sus pros y sus contras (mi intención a largo plazo es dejarlo todo bien y arreglar todo lo posible). Por ahora voy a dividir el proyecto en partes (y probar a baja escala como funciona todo antes de liarme la manta a la cabeza y hacerlo todo). Esta parte es la que actualmente más problemas da. Y es la que no puede / debería de poder cambiarse. A ver si me puedes ayudar. Voy a ver si consigo explicarlo bien. Tengo este esquema

Las dos redes, son redes internas, sin ningún tipo de conexión a internet, no hay internet en ninguna de las dos redes. La parte de Internet ya la abordaré más adelante, que por ahora al estar en redes separadas no me preocupa.

Tengo el pfSense con la interfaz LAN dentro de la RED 0 (192.168.0.0/24). El SW1 es simplemente un swtich al que se conectan todos los equipos de trabajo para estar interconectados entre sí, hasta aquí ningún problema, los equipos y servidores se ven entre sí, pueden interactuar (lo que yo quiera que hagan mediante las reglas del pfSense).

Por otra parte está la red RED 1 (192.168.10.0/24), donde se encuentra un Router que está configurado con una LAN de la red 0 (tiene de IP 192.168.0.254) y una WAN en la 192.168.10.0 (esto es lo que no se puede tocar). Por lo que los equipos de la RED 1 pueden verse entre sí y trabajar entre ellos. Y los equipos de la RED 0 si tienen que conectar por Terminal Server al Servidor 1 lo hacen poniéndose la Gateway la 192.168.0.254. Hasta aquí todo bien.

Mi intención es, como ya que esa parte no se podría cambiar (lo del router ese haciendo el "puente" entre las dos redes) como conseguir que los equipos de la RED 0 conecten a la RED 1 a través de Terminal Server por el pfSense (ya le pondría yo las reglas oportunas al pfSense para que sólo puedan conectar determinados equipos). Por lo que hice fue "replicar " la configuración que tenían los equipos pero con algunos cambios, por ejemplo la Gateway de los equipos de la RED 0 pasó a ser la IP de la interfaz LAN del pfSense, y luego en el pfSense configuré una Gateway (de nombre RDPGW) que apunta a la 192.168.0.254 que es la encargada de hacer el puente de redes. Y así puedo conectar, al Servidor 1 a través de terminal server, pero al poco de estar conectado se bloquea y me dice conexión perdida, he visto los logs de las Gateways y esto que puse antes es lo que me arrojaba:

*send_interval 500ms loss_interval 2000ms time_period 60000ms report_interval 0ms data_len 1 alert_interval 1000ms latency_alarm 500ms loss_alarm 20% dest_addr 192.168.0.254 bind_addr 192.168.0.253 identifier "RDPGW "

RDPGW 192.168.0.254: sendto error: 65
RDPGW 192.168.0.254: Clear latency 888us stddev 4026us loss 11%
RDPGW 192.168.0.254: Alarm latency 0us stddev 0us loss 100%*

He investigado por internet ya que había mucha gente que les daba esos problemas (y he probado la solución que a algunos les funcionaba de modificar el payload pero me sigue dando el mismo problema)

Actualmente estoy usando la versión 2.4.5-RELEASE-p1, pero he visto que hay una nueva y la estoy actualizando a la 2.5.0

BrujoNic

Bueno, vamos a ver lo que logré asimilar (ya los años juegan con mi mente ) ya que en un diagrama formal de red, se puede ver y asimilar mejor las cosas.

Ya me quedó claro que ambas redes que se comunican, están dentro de pfSense. Ahora se comprende que la LAN del pfSense tiene el rango 192.168.0.0/24 y supongo que también tiene activo el DHCP y colocaste los límites inicial y final de IPs a repartir.

También que la LAN del pfSense, se conecta a un puerto de un SWITCH normal, o sea, NO administrable, luego del SWITCH se conectan unos equipos de la Red 0 y un puerto se conecta a un ROUTER que tal como lo comentas, realmente NO ESTÁ COMO BRIDGE (PUENTE) y aquí está algo que me confunde totalmente.

Del SWITCH a ese router lo conectas a la WAN o Internet de ese router y si es así, la IP de la WAN del router debería ser, a mi entender, una IP 192.168.0.X fija con la puerta de enlace (GATEWAY) de la LAN del pfSense, o sea, 192.168.0.1, si es la que dejaste de GATEWAY en el pfSense y luego internamente, el DHCP de ese router debería estar configurado el rango 192.168.10.0.

De esa forma, ambas redes se podrían ver de forma transparente y CREO que las reglas que estas poniendo en el pfSense para la 192.168.10.0, no funcionan porque pfSense no tiene ni administra esa red ya que está en un router.

Ahora, los problemas que podrías tener, es que hay ROUTERs de "ROUTERs" y si son caseros, no aguantan mucha carga, debes tomar en cuenta la velocidad, probar apagar y encender el router a ver si se soluciona el problema y si es así, ahí está parte del conflicto que tenes.

pfSense ejecuta reglas a lo que tiene configurado y administrado. Ese router no está configurado ni administrado por pfSense, o al menos así lo veo yo.

Aclara por favor si del switch al router va conectado al puerto WAN/Internet, qué IP tiene esa WAN del router, si está activado el DHCP y qué rango de IPs reparte.

Saludos.

dmp93

@brujonic said in Problema con las Gateway:

Ya me quedó claro que ambas redes que se comunican, están dentro de pfSense. Ahora se comprende que la LAN del pfSense tiene el rango 192.168.0.0/24 y supongo que también tiene activo el DHCP y colocaste los límites inicial y final de IPs a repartir.

Así es, si pongo las ip a repartir, y pongo que usen la GateWay la IP 192.168.0.254 funciona sin problemas y no se corta la conexión, pero no puedo aplicar reglas del pfSense, o las aplico y no me da ninguna reacción, por ejemplo bloquear los pings entre los equipos de la red 192.168.0.0/24. En cambio si pongo de GateWay la IP de la interfaz del pfSense (192.168.0.253) se me aplican las reglas, pero cuando conecto por RDP a la ip 192.168.10.100 al poco rato se corta la conexión (el problema inicial)

También que la LAN del pfSense, se conecta a un puerto de un SWITCH normal, o sea, NO administrable, luego del SWITCH se conectan unos equipos de la Red 0 y un puerto se conecta a un ROUTER que tal como lo comentas, realmente NO ESTÁ COMO BRIDGE (PUENTE) y aquí está algo que me confunde totalmente.

Así es. No está en modo bridge, me expliqué mal, es el que hace el "puente" entre la 192.168.0.0/24 y la 192.168.10.0/24, vamos el que conecta las dos redes.

Del SWITCH a ese router lo conectas a la WAN o Internet de ese router y si es así, la IP de la WAN del router debería ser, a mi entender, una IP 192.168.0.X fija con la puerta de enlace (GATEWAY) de la LAN del pfSense, o sea, 192.168.0.1, si es la que dejaste de GATEWAY en el pfSense y luego internamente, el DHCP de ese router debería estar configurado el rango 192.168.10.0.

Se conecta a la lan, esta es la configuración de ese router que conecta las dos

Tiene deshabilitado el DHCP.

De esa forma, ambas redes se podrían ver de forma transparente y CREO que las reglas que estas poniendo en el pfSense para la 192.168.10.0, no funcionan porque pfSense no tiene ni administra esa red ya que está en un router.

Así es, pensaba que si podía administrarlas, pero haciendo pruebas no me deja administrarlas (sólo me deja aplicar reglas que surten efecto en los equipos que tengan la GW de la IP de la Interfaz LAN del pfSense).

Aclara por favor si del switch al router va conectado al puerto WAN/Internet, qué IP tiene esa WAN del router, si está activado el DHCP y qué rango de IPs reparte.

del switch al router va conectado por el LAN

Pd: Me explico como un libro en llamas.

BrujoNic

Lee palabra por palabra mi mensaje anterior ya que omitiste cosas y principalmente, cómo debería estar configurado las IPs de ese router. Por cierto, es router o AP (modelo).

En esa imagen, sólo se ve desactivada la red inalámbrica y si realmente estuviera desactivado el DHCP, de donde obtienen las IPs esos equipos conectados a ese router o es que se los pones manual?.

Todo el problema lo tenes SIMPLE Y SENCILLAMENTE en la configuración de ese router que está muy mal de la forma en que POCO A POCO y a CUCHADAS, vas narrando la configuración.

Es por eso que te digo que en un diagrama de red detallado, te aseguro que del primer mensaje, ya tendrías mejores soluciones, pero como no lo detallas, cuesta mucho dar con el clavo.

dmp93

@brujonic

Lo sé, de hecho conforme voy investigando voy encontrándome cosas nuevas (configuraciones que no se sabía ni que existían etc) con las que no contaba. Así que voy a investigarlo todo y en cuanto lo tenga claro te lo explico bien.

Gracias