No llego a internet desde mi lan



  • Buenas tengo un problema de conectividad, en clase estamos haciendo un escenario usando un pfsense de firewall y otro de proxy, en el que hace de proxy hemos deshabilitado el nat.
                            WAN
    La cosa va así
                          172.17.8.2 –> firewall<-- 192.168.3.1(vlan200) DMZ Interfaz virtual
      virtual ip -->172.17.8.76-->          <-- 192.168.13.1(vlan100) <> 192.168.13.240 pfsense + proxy <--- 192.168.11.1 LAN Interfaz virtual

    DMZ y LAN cuelgan de una misma tarjeta con troncal

    Tengo dos preguntas:
    1- Desde que cree la troncal, solo puedo añadir reglas que tengan efecto en la interfaz que se cree automaticamente en rules llamada trunk, porque? Se puede cambiar? Como funciona esto?

    2- No puedo llegar a internet desde la lan con las reglas que adjunto, pero si permito todo si llega (son las reglas del firewall, lo demás esta todo abierto

    Muchas gracias por su apoyo 
    ![Sin título.png](/public/imported_attachments/1/Sin título.png)
    ![Sin título.png_thumb](/public/imported_attachments/1/Sin título.png_thumb)



  • el tema ping lo tengo solucionado, lo que no entiendo igualmente es lo anterior…

    Eso de trunk, es obligatorio? porque?



  • al crear las vlans… reiniciaste el pfsense??

    Así estuve un tiempo como con 10 vlans y no había reiniciado xD



  • Gracias por responder, pero no es un tema de reiniciar, por lo que veo cuando creas una troncal con varias vlans te crea un grupo con la tarjeta donde estan asociadas las vlans con su subinterfaz correspondiente.. pero si quito el grupo las reglas no funcionan bien…



  • @adrian.capablo:

    por lo que veo cuando creas una troncal con varias vlans te crea un grupo con la tarjeta donde estan asociadas las vlans con su subinterfaz correspondiente..

    pero si quito el grupo las reglas no funcionan bien…

    Grupo ?

    Adjunta captura/s de pantalla, en la/s que se vea claramente la asignación de interfaces/VLANs

    Por aquí puedes ver un hilo respecto al tema VLANs https://forum.pfsense.org/index.php/topic,47388.0.html



  • Muchas gracias por la respuesta, muy amable.

    Le dejo esta captura dónde se puede ver lo que fue creado por el mismo sistema al configurar una trajeta troncal con varias vlans con subinterface, la cosa es que sin ese grupo de interfaces no hay manera de que las reglas de lan o dmz funcionen por ejemplo, solo hacen caso a eso y si lo borro a nada

    ![Sin título.png](/public/imported_attachments/1/Sin título.png)
    ![Sin título.png_thumb](/public/imported_attachments/1/Sin título.png_thumb)



  • A ver imagen de que Vlan's tienes

    Edit:
    Esa imagen que subiste, pero dale en editar (el lápiz ese que está ahí, y subes captura)



  • Para utilizar VLANs no necesitas crear un grupo de interfaces, cada VLAN puede ser tratada como una interface separada (con sus propias reglas de FW).

    Cual es el motivo por el que decidiste utilizar grupos de interfaces ?

    Sería bueno que expliques claramente/en detalle lo que deseas realizar/lograr, y si adjuntas un esquema/diagrama claro,completo y detallado de tu red, mejor aún. Ya que es difícil entender lo que estás haciendo, y poder ayudarte, si solo muestras "partes" y no explicas claramente lo que tratas de hacer.



  • Estoy haciendo un trabajo para clase donde tenemos que tener un firewall con una lan y una dmz, debemos separar el trafico mediante vlans, la cosa es que nuestro firewall solo tiene dos tarjetas de red, asi que hemos creado las dos vlans como si fueran subinterfaces, esto va conectado a un switch en un puerto configurado en trunk.

    La cosa queda algo más o menos así:
                            WAN
    La cosa va así
                          172.17.8.2 –> firewall<-- 192.168.3.1(vlan200) DMZ Interfaz virtual
      virtual ip -->172.17.8.76-->          <-- 192.168.13.1(vlan100) <> 192.168.13.240 --> pfsense + proxy <--- 192.168.11.1 LAN Interfaz virtual

    La cosa es que el solo ha creado el apartado trunk, donde las reglas se ejecutan con normalidad, pero observo que en los demás apartados apodados lan y dmz el trafico no pasa por ahí aún borrando el apartado trunk.



    ![reglas trunk.png](/public/imported_attachments/1/reglas trunk.png)
    ![reglas trunk.png_thumb](/public/imported_attachments/1/reglas trunk.png_thumb)



  • @arnoldo0945:

    Sería bueno que expliques claramente/en detalle

    Concuerdo, al menos yo no comprendo que intentas.

    @adrian.capablo:

    Estoy haciendo un trabajo para clase donde tenemos que tener un firewall con una lan y una dmz, debemos separar el trafico mediante vlans, la cosa es que nuestro firewall solo tiene dos tarjetas de red

    Eso es normal cuando se tiene una o dos tarjetas de red y se necesitan más, de hecho es que con una sola tarjeta de red puedes hacer todo mediante lan

    @adrian.capablo:

    hemos creado las dos vlans como si fueran subinterfaces, esto va conectado a un switch en un puerto configurado en trunk.

    Como menciona aquí el compañero:
    @arnoldo0945:

    Cual es el motivo por el que decidiste utilizar grupos de interfaces ?
    

    No veo para que haces el grupo de interfaces el cual nombras Trunk, el Trunk en realidad lo tendrías que hacer en tu switch si es que fuera necesario.

    @adrian.capablo:

    La cosa queda algo más o menos así:
                            WAN
    La cosa va así
                          172.17.8.2 –> firewall<-- 192.168.3.1(vlan200) DMZ Interfaz virtual
      virtual ip -->172.17.8.76-->          <-- 192.168.13.1(vlan100) <> 192.168.13.240 --> pfsense + proxy <--- 192.168.11.1 LAN Interfaz virtual

    La cosa es que el solo ha creado el apartado trunk, donde las reglas se ejecutan con normalidad, pero observo que en los demás apartados apodados lan y dmz el trafico no pasa por ahí aún borrando el apartado trunk.

    Creo que la ip debe estar en un rango diferente a 172.17.8.x en la DMZ, creo, en eso no estoy muy seguro.



  • Por favor no lo tomes a mal, pero creo que "estás mordiendo mas de lo que puedes masticar"

    Si no estas familiarizado /no tienes experiencia con pfSense, deberías comenzar por entender lo básico y realizar las cosas de manera simple/gradual….

    Por ejemplo, manejar/entender como trabajan las "Reglas de Firewall"

    https://doc.pfsense.org/index.php/Firewall_Rule_Basics

    https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order

    https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting

    En la imagen que adjuntas, la única regla que va a "aplicar" siempre es la primera, las demás nunca aplicarán

    Y si a esto le agregas el hecho que forman parte de un "Grupo de Interfaces" (la regla aplica a todas la interfaces del grupo)

    Creo que deberías "empezar por lo simple" (Reglas en cada Interface / VLAN) o, como dicen los compañeros de habla inglesa "Baby Steps" y luego, una ves que te familiarices con pfSense, podrás ir "complicando" tu configuración….

    ![reglas trunk useless.png](/public/imported_attachments/1/reglas trunk useless.png)
    ![reglas trunk useless.png_thumb](/public/imported_attachments/1/reglas trunk useless.png_thumb)