VPN + 2 redes
-
Hola Foro!!!
Les quiero hacer un consulta que más de procedimientos en pfsense puede ser ilustritativa.
Trabajo para una empresa donde tenemos varias sucursales. Yo trabajo en una sucursal (s1), pero tengo un vínculo muy estrecho con casa central (cc) por mis conocimientos de UNIX y demás. Entre las dos sucursales tenemos una VPN que nos brinda un proveedor. En ambas tenemos proveedores diferentes de internet, o sea nuestra internet es independiente.
EN CC tenemos un pfsense 2.3.1 con 3 interfases
WAN: se conecta por PPPoE
LAN: 192.168.30.1/24 siendo esta el Gw de esa red
OPT1: 172.16.1.2/24 Gw: 172.16.1.1En S1 tenemos un pfsense 2.3.1 con 3 interfases
WAN: El ip del proveedor
LAN: 192.168.1.1/24 siendo esta el gateway de mi red
VPN: 172.16.2.254/24 Gs: 172.16.2.1Bien yo tengo en realidad dos problemas desde mi red 172.16.2.x puedo hacer ping sin problemas a la red 172.16.1.x; pero
Problemas 1: Quiero poder desde 192.168.1.x poder hacer ping a 172.16.2.x
En el Menú Systm - Routing - Gateways tengo
WANGW (default) if:WAN Gw: ip.del gw.del.proveedor
VPNGW if: VPN if:172.16.2.1
Defini también rutas estátias (static routes):
172.16.0.0/16 gw:172.16.2.1 if:VPNBien hasta ahí todo bien… en mis rules del firewall tengo en LAN
pass - IPv4* - LAN net - * - VPN address - * - * - none
pass - IPv4* - LAN address - * - VPN address - * - * - none
pass - IPv4* - VPN address - * - LAN address - * - * - noneDespues en las rules de la parte VPN
pass - IPv4* - * - * - * - * - * - none
pass - IPv4* - LAN net - * - VPN net - * - * - none
pass - IPv4* - VPN net - * - LAN net - * - * - none
pass - IPv4* - LAN address - * - VPN address - * - * - none
pass - IPv4* - VPN address - * - LAN address - * - * - noneEl tema es que estando en 192.168.1.x puedo hacer ping 172.16.2.254 siendo está la interfase del pfsense, pero no puedo hacer ping a otros IP de esa red y menos aún al gateway 172.16.2.1. Están todos conectados al mismo Switch, asi que físicamente están visibles. Desde el pfsense si puedo hacer ping a cualqueir red que desee. Mi objetivo es lograr que desde 192.168.1.x a 172.16.2.x
Problema 2: Preciso además que desde 192.168.1.x poder hacer ping a la 172.16.1.x o sea la VPN de mi CC y de ser posible a la 192.16.30.x aunque esta última parte creo que sería algo parecido a lo que haga si logro el primero ping.
He pensado seriamente eliminar mi LAN y convertir mi LAN en las IP de las VPN, total mi acceso a internet sale por proxy... y yo tengo mi propio MTA.
Alguna ilustración de lo que podría hacer.
Saludos
-
Bueno yo mismo me respondo el problema 1:
Rebuscando por ahí me dio por entrar en menú Firewall - Virtual IPs.. y me encontré una interfase virtual con el mismo IP de mi VPN… no se porque se creo esto ahí, quizá fue antes de que a mi MV (porque mi pfsense es una MV de KVM/QEMU en CentOS 7) le definiera una interfase física más. Bueno problema 1 solucionado. Ahora paso al problema 2 que aun no queda solucionado.
Saludos
-
Me parece que la respuesta se encuentra por la poca información que presentas en tu pregunta, que no hay rutas definidas en los dos equipos para alcanzar las dos redes remotas de manera respectiva . Aunque si lo que mencionas es correcto y el enlace es en verdad una VPN las redes deben de estar declaradas dentro de la configuracion de la VPN de tu proveedor. Ó lo que mencionas como VPN es realmente un enlace privado dentro de la MAN/WAN del proveedor :).
Regresando al tema de las rutas ,de CC no mencionas que tengas una ruta hacia la red 1.x y/o la red de la VPN y del lado de S1 no tienes una ruta hacia la 30.x y/o la red de la vpn de ese lado .
Habra que agregar en las interfaces respectivas las reglas que permitan el trafico a las redes deseadas.
Se me hace extraño que no lo veas siendo que dices saber de Unix y otros temas.
saludos
-
Regresando al tema de las rutas ,de CC no mencionas que tengas una ruta hacia la red 1.x y/o la red de la VPN y del lado de S1 no tienes una ruta hacia la 30.x y/o la red de la vpn de ese lado .
Habra que agregar en las interfaces respectivas las reglas que permitan el trafico a las redes deseadas.
Se me hace extraño que no lo veas siendo que dices saber de Unix y otros temas.
saludos
Cree una ruta statica (System - Routing - Statics Routes)
172.16.0.0/16 VPNGW - 172.16.2.1 VPN
192.168.30.0/24 VPNGW - 172.16.2.1 VPNEsto en mi servidor… despues en el Firewall - Rules
LAN
IPv4 * 192.168.30.0/24 * LAN address * * none
IPv4 * LAN net * VPN address * * none
IPv4 * LAN address * VPN address * * none
IPv4 * VPN address * LAN address * * noneEn VPN
IPv4 * * * * * * none
IPv4 * LAN net * VPN net * * none
IPv4 * VPN address * VPN net * * none
IPv4 * VPN net * LAN net * * none
IPv4 * LAN address * VPN address * * none
IPv4 * VPN address * LAN address * * none
IPv4 * 192.168.30.0/24 * LAN address * * none
IPv4 * VPN address * 192.168.30.0/24 * * none
IPv4 * 172.16.2.0/24 * 172.16.1.0/24 * * noneAún teniendo eso no me deja hacer ping entre las redes.
-
que pasa cuando haces un traceroute desde los firewalls y desde las PCs ?