Ayuda con Ips

yoandysse

Hola actualmente tengo una red administrada en una PC con PFsense de la siguiente forma:

–---  WAN
PFSENSE __|
                  |----- SERVIDORES (IPs REALES)
                  |
                  |----- MI RED LAN

Ahora explico mi WAN funciona como puente de los SERVIDORES que acceden directo a internet, mi LAN es un rango ficticio 192.168.0.0/15 (que me lo dio mi proveedor) que se comunica con los SERVIDORES. Mi pregunta es la siguiente, quisiera picar mi red LAN en segmentos /24 pues primeramente no voy a usar un /15 completo, y luego quisiera segmentar la red en partes para q un rango no se vea con otro, pero q todos tengan acceso a los SERVIDORES, me explico con ejemplo:

-----  COMPUTADORAS (192.168.0.0/24)
LAN ______|
                  |----- TELÉFONOS IPS (192.168.1.0/24)
                  |
                  |----- WIFI (192.168.2.0/24)

Eso es lo que quiero lograr segmentar la entrada de la red LAN para q el rango de los teléfonos no vea a las PC, ni las PC vean el rango de WIFI, y todo saliendo por un mismo adaptador, aclaro q los Teléfonos y las PC tendrían anclaje de ip en el pfsense y el único q cogería dhcp serian la WIFI, es posible lograr hacer esto?

ZAC

¿tienes switch administrables?, yo lo haría con tres Vlan, haciendo 3 lan diferentes para separar todo, se me haría a mi lo lógico, al menos así lo solucionaría.

yoandysse

el problema es el siguiente, del LAN del PFSENSE sale a un switch q no es administrable y de ahí en adelante hay otros switch q se interconectan con otros y en todos ellos estan los puntos inalambricos, los teléfonos ips y las computadoras

ptt

Entonces, como decimos por aquí "Estás en el horno"

Segmentando la LAN en distintos /24 (L3), sobre los mismos SW (L2) no te arregla nada.

Edit:

Ejemplo:

En tu diagrama, que "impide" que un "Cliente WiFi"  192.168.2.0/24 cambie su IP al segmento de red al de las "PC"  192.168.0.0/24 y las acceda libremente, sin que el pfSense siquiera se entere de lo que está sucediendo….  ?

yoandysse

Pues si en ese sentido no tengo escapatoria, pero realmente eso no me preocupa tanto ahora, xq el objetivo es separar las subredes para q no se vean supuestamente, aunq se cambien el ip suponiendo q lo hagan no les sirve de nada ya q en rango LAN no hay ningun servicio montado y como el pfsense para los telefonos e ips stan en una red cerrada no podran acceder a los lugares q estos si pueden, no se si me expliqué bien. El caso es se pudiera hacer lo que pido, la idea de lo que quiero hacer la tengo bien pensada y no me afecta, lo q no bien como explicarla

ptt

@yoandysse:

la idea de lo que quiero hacer la tengo bien pensada y no me afecta, lo q no bien como explicarla

Pues hasta que los compañeros puedan entender con claridad/exactitud lo que pretendes realizar, no podrán ayudarte/orientarte

https://forum.pfsense.org/index.php?topic=23265.0

ZAC

Yo creo que necesitas adquirir un switch administrable, de ahí sacas a los diferentes switch no administrables que llevan a tus redes, de teléfonos, compus y wifi, que quiero creer físicamente estos si están separados y cada uno tiene su swicth, si es así con un switch administrable de 5 puerto puedes hacerlo, hay unos muy baratos, he visto de hasta 4 puertos por algo así como 49 USD lo cual no es mucho en realidad.

Si tu red física es diferente, entonces agrega un diagrama de como esta físicamente.

yoandysse

Voy a realizar un esquema detallado de mi red y lo que quiero lograr, y lo subo en breve, gracias x la ayuda amigos

ZAC

Vale, pues no ayudó mucho pero lo intento :P

yoandysse

Bueno aca subo mi diagrama de red, lo que quiero es separar los segmentos LAN, para lograr lo siguiente:

• Que las PC especializdas sean las únicas q accedan a el servidor SQL
• Que el rango de telefonia, solo acceda a su centrar voip
• Que las PC accedan a todo menos al servidor SQL
• El único DHCP abierto seria el de la WIFI, xq los otros los configuro en el PFsense como red cerrada

ZAC

Ni como ayudarte entonces, hay un desmadre en tu red física al parecer

Pero con un googlazo rápido me dice que el TP Link es administrable, y es Planet por lo que cuesta, debería serlo xD

http://www.tp-link.com/il/products/details/cat-40_TL-SL2428WEB.html

Me parece que primero debes saber exactamente bien que tienes en tu red y como sacarle el mejor provecho, porque así por partes como nos las la información y que no digas que no tienes algo que si tienes, pues nos confunde, de por sí yo no soy muy avispado.

Edit:
Bueno es frustrante, según la hoja de datos de su equipo tiene otro switch administrable en su red, y bueno, no google los otros pero capaz también lo son, si utiliza bien sus Vlan tal vez pueda hacer lo que quiere.

http://www.planet.com.tw/en/product/images/35790/EM-SGSW-24040_24240%20Series_v1.6.pdf

gersonofstone

ZAC tiene razon que desosrden en esa red… suguiero mucho cafe y tiempo para arreglar todo eso...

ZAC

Jajaja, el problema es que solucionarlo a parte de lo que sugieres es $_$

gersonofstone

Oye pero mirando el diagrama y lo que dice ZAC de los sw, no esta tan complicado 4 VLAN la cofiguracion de los sw con puertos trunk o Hibridos y como sugerencia separar la red wifi de la de telefonos … ??? ???

Juan Peña Beltre

Hola. quizás te pueda ayudar ya que yo e logrado algo exitosa mente, Tengo un servidor multimedia conectado directamente a mi suiche con la IP (192.168.47.1)
En mi WAN (10.0.0.1) tengo el Internet y en mi LAN con la IP (192.168.32.1) tengo mis puntos de acceso. OK todo claro…. Bien yo use en mi LAN una mascara de red de 20 la cual le permite a el servidor DHCP un rango de 192.168.32.1 - 192.168.47.254 oKK... Yo puse  el rango de mi servidor DHCP a trabajar en 192.168.32.3 hasta 192.168.46.254...
Quedando libre las IPs de la 192.168.47.2 a la 192.168.47.254 OK aquí es lo bueno, ya sabemos que el servidor DHCP se encargara de dar unas 3567 IP automáticas que no se verán con las IP sobrantes de  la 192.168.47.1 a 192.168.47.254, Bien solo te queda  configurar en los clientes que quieras que asedan a y Internet y a tu servidor  una ip manualmente en su dispositivo en el rango anteriormente mencionado y listo, quieres que un cliente de esos que son listo no se conecte manualmente a tus servidores poniendo una IP en el rango compatible, pues tienes dos opciones 1- Usando el portar cautivo para agregar las IPs del rango 47 que ya diste manualmente convinandolas con el amarre de dirección mac para que solo ese dispositivo en particular se conecte con esa IP asignada.... 2- Sin usar o usando el portal cautivo...Administra tu servidor Wep por ejemplo yo uso windows server 2012 que tiene servidores web y de archivos y tiene la opción de dar permisos a  IP ya asignadas con la ventaja que  se puede conectar directamente al suiche principal.
Me preguntarías ¿Y para que tu usas o yo necesito usar 3567 IP si en una LAN no soportaría tanto, en crecimiento esto si es útil, Pues de eso se encarga una tarjeta de red de fibra de 20 GB y un suiche que también tenga puertos de fibra y RJ45?

yoandysse

amigos, gracias a todos, no os preocupeis mas q ya arregle el muñeco, par de dias trabajando pero reestructure un poco la red, y organice todas las cosas, ahora solo tengo una duda pero ya creare un post aparte porque no tiene nada q ver con esto, saludos y gracias sus escritos me fueron de ayuda para lograr lo que queria.