Acceder a servicios desde LAN a otra Red [SOLUCIONADO]



  • Hola a todos, antes de exponer mi situación les comento que soy demasiado nuevo en PFsense y a pesar de que he leído muchos tutoriales y cantidad enorme de las respuestas en este Foro, necesito de su ayuda.

    Introducción:
    En el lugar donde trabajo contamos con una conexión a internet, que llega a un servidor y crea el segmento de red 10.84.24.0/24 (en la imagen sería la parte del Router 1). Vamos a llamar a esta red "Red Administrativa" Dentro de este segmento existen algunos servicios y otros servidores, por ejemplo, un servidor de datos en la IP 10.84.24.10, DNS en la IP 10.84.24.28 y Central telefónica 10.84.24.30. Por cuestiones administrativas no tengo acceso a la configuración de estos servidores. He instalado un servidor Debian para darle Internet a un grupo de casas de empleados y este servidor cuenta con 2 placas de red: una conectada al switch de la red 10.84.24.0/24 (eth0) y la otra que crea la red 192.168.4.0/24 (eth1) para esas casas. En este esquema, enmascarando los paquetes desde la ETH1 a la ETH0 puedo acceder a los servicios de los servidores de la red 10.84.24.0

    Se nos dió la posibilidad de poder contar con otra conexión de Internet y lo que se me ocurrió fue trabajar con las dos redes distintas por separado. Sé que se podría hacer que lleguen los dos proveedores a un solo PFsense y hacer balanceo de carga pero por el lugar en donde estamos prefiero tener las redes por separado.
    En un principio estaba por instalar Debian y configurar un servidor para esta nueva conexión pero varios me comentaron que lo mejor que podía hacer era instalar PFsense, así que en un servidor virtualizado (Xenserver) hice la instalación de este sistema.
    El servidor cuenta con 3 placas: WAN, LAN y OPT1 como se ve en la figura, bajo el Router 2.
    La WAN está configurada como DHCP automático, toma la configuración del router.
    La LAN es la red 192.168.3.0/24 que va a servir para las casas reemplazando al servidor Debian (192.168.4.0/24) de la otra red (Red Administrativa). La LAN está configurada como DHCP, las pcs conectadas a ella toman IP automática y navegan sin problemas.
    La placa OPT1 está configurada con IP estática, la 10.84.24.15, coincidiendo con el segmento de red de la red administrativa y conectada al Switch de esta red.

    Lo que deseo y no está funcionando es que desde la red LAN 192.168.3.0 se pueda acceder al servidor de datos, la central telefónica, etc.
    Supongo que debe haber algún problema de Ruteo o similar pero no sé bien dónde configurar todo esto.
    Las pruebas que hice fue hacer un ping desde la LAN hasta la central telefónica 10.84.24.30 y no funciona. Sí puedo hacer un ping desde la red Administrativa a la placa de red OPT1, lógicamente tiene que andar.

    Espero no haber sido muy extenso y que me disculpen por hacer esta consulta. Sé que para alguno de ustedes quizás este tema sea sumamente fácil de resolver pero espero que no se enojen conmigo y me puedan orientar.
    Dejo también la configuración de las reglas del Firewall.
    Muchas gracias!







  • buenas, prueba creado una regla con origen en lan y destino opt1, y revisa en los log del firewall el comportamiento del trafico



  • Muchas gracias win_bar por reponder. Las reglas que creé fueron:
    en LAN -> Origen: LAN Net con destino OPT1 Net.
    en OPT1: Origen OPT1 Net con destino a LAN Net.

    Por las dudas puse una pc en OPT1 (IP de la pc 10.84.24.16 con puerta de enlace 10.84.24.15 que es la IP de la placa de red OPT1) y desde esta Pc puedo hacer ping hasta una PC de la red LAN.
    Pero desde la red LAN sólo puedo hacer ping hasta la placa OPT1 y no a la PC 10.84.24.16.

    Puede ser que me esté faltando colocar alguna configuración de Gateway o alguna ruta en el PFsense?

    En la configuración de la placa OPT1 tengo puesta solamente la IP y sin DHCP activado.


  • Rebel Alliance

    En el FW de esa PC, tienes permitido el "acceso" (Ping) desde "otras" Redes ?



  • Muchas gracias PPT por la respuesta. Deshabilité el Firewall en la PC y funcionó, al igual que habilité el ICMP de esa máquina y efectivamente pude hacerle ping, pero todavía no me acerqué a la solución, ya que al conectar la placa OPT1 al Switch de la red administrativa (10.84.24.0) no puedo acceder a los servicios de los servidores 10.84.24.10, 10.84.24.30 y 10.84.24.3. No me refiero solamente que no puedo hacerles ping sino que si en el explorador de archivos (desde una maquina de la LAN 192.168.3/24) escribo //10.84.24.10 no recibo respuestas. Aclaro que no tengo acceso a estos servidores como para configurar algo en ellos.
    Quiero saber si se puede hacer NAT de los paquetes que pasen por la placa OPT1 con destino a la red 10.84.24.0 y que esa red crea que todo lo que viene de la placa 10.84.24.15 (OPT1) forme parte de su red.
    O configurar algún gateway, no se, estoy un poco confundido todavía con PFsense.
    Gracias!



  • Buenas, todo debería tener la misma puerta de enlace, pues el trafico lo puedes hacer llegar pero el retorno se esta enviando por otro sitio y no existirá comuncacion.



  • Me parece que el problema se encuentra en que los servidores que estan en la red actual "Administrativa"  no sabe como "retornar" a la red nueva ya que no tiene una ruta de retorno para el nuevo segmento de red y lo que hacen es buscar una ruta por su gw por defecto.  Yo creo que anexando una ruta estatica en el otro firewall ( Red Administrativa)  deberá de resorver el problema.

    En el caso de que no se pueda, tendrás que hacer el NAT hacia esa red de manera manual en Firewall NAT en la seccion de "Advanced Outbound Nat"



  • Muchas gracias a todos, ya solucioné por lo menos con alguna de las opciones que lo quería hacer.
    Gracias acriollo por orientarme un poco más y confirmar lo que había pensado en un principio.
    Opté finalmente por enmascarar el tráfico que va desde la LAN hacia OPT1 agregando esta opción en el Firewall NAT en la seccion de "Advanced Outbound Nat".
    Con esto ya puedo acceder a los servicios de la "red Administrativa" sin problemas.
    Gracias Mil!!!!



  • Que bueno que pudiste solucionarlo.

    Solo edita el titulo y agrega "SOLUCIONADO"

    saludos


Log in to reply