Problemas VIP e Rota Estática, pfSense 2.3.4



  • Prezados, bom dia.

    Tenho o seguinte cenário:

    WAN1 = 192.168.100.1/28 (Embratel Público)
    WAN2 = 192.168.200.1/28 (Oi Público)
    LAN = 172.16.0.0/23
    MPLS Lado A = 10.10.0.1/24 (IP Interno Matriz)
    MPLS Lado B = 10.200.100.1/24 (IP Interno Filial)

    É o seguinte, configurei 3 placas de rede na maquina:

    Placa 1 = WAN1
    Placa 2 = WAN2
    Placa 3 = LAN

    Todos funcionando normalmente com Squid Transparente, NAT e tudo mais que tem direito além de estar com as regras do firewall padrão.

    Daí me surgiu o seguinte problema, como conectar a rede interna ao MPLS?

    Fiz o seguinte (Já usava esse cenário em um CentOS 6.9):

    1º - Criei um IP Virtual (IP Alias) com o IP 10.10.0.2/24 saindo pela placa 1 (Tendo em vista que as WANs e o MPLS estão no mesmo Switch).

    2º - Criei um novo Gateway, com o IP 10.10.0.1/24 (Também saindo pela placa 1).

    3º - Criei uma Rota estática para a rede 10.200.100.0/24, com o gateway 10.10.0.1/24.

    E não funcionou.

    Dei permissão total em todas as placas de rede.

    Lembrando que no CentOS eu não tinha a necessidade de criar um gateway só configurava a Interface Virtual e configurava a rota.


    Minha solução paliativa foi a seguinte:

    Retirei as configurações da Placa 2 e coloquei a configuração do MPLS. Porém não tenho a redundância de links e não queria ter que adicionar outra placa de rede, pois não há mais espaço.

    Atenciosamente,

    Rodrigo Prazim



  • Acho que faltou um outbound nat/no nat para garantir que o trafego que vai para o mpls não seja alterado ou mascarado.



  • Marcello, Obrigado por responder.

    Realmente eu não mexi nessa questão do Outbound, teria como, se possível você entrar em mais detalhes e se possível como efetuar a configuração?

    PS: Iniciei ante-ontem no pfSense.

    Atenciosamente,

    Rodrigo Prazim



  • menu firewall -> nat -> outbound

    Lá você configura ele em modo hibrido e acrescenta uma regra dizendo que toda vez  que o trafego x passar pela interface de saida y, não vai haver nat.



  • Marcello, Obrigado por responder novamente.

    Bem, não funcionou.

    Fiz o seguinte,

    1 Passo - Criei um gateway com um IP da rede do MPLS.
    2 Passo - Inseri um IP Virtual (IP Alias) com um IP da rede do MPLS apontando para a interface de WAN.
    3 Passo - Criei uma rota para a rede destino do MPLS apontado para o gateway do MPLS.
    4 Passo - Definido Hybrid no outbound e adicionado 2 configurações de NAT (pois tenho duas WANs).

    Regra do outbound:

    Marcado a opção: Enabling this option will disable NAT for traffic matching this rule and stop processing Outbound NAT rules
    E no source coloquei a rede de destino do MPLS

    Lembrando que, ao colocar as configurações numa placa física, o roteamento foi bem sucedido, sem precisar fazer alterações na outbound, que por acaso também criou regras de tradução para a rede do MPLS.

    Dai eu te pergunto, há a possibilidade de criar Subnets?

    Atenciosamente,

    Rodrigo Prazim



  • Segue a tabela de rotas:

    | Internet: |
    | Destination | Gateway | Flags | Netif |
    | default | 192.168.100.1 | UGS | re0 |
    | 10.8.0.0/28 | 10.8.0.2 | UGS | ovpns1 |
    | 10.8.0.1 | link#8 | UHS | lo0 |
    | 10.8.0.2 | link#8 | UH | ovpns1 |
    | 10.200.100.0 | 10.10.0.1 | UGS | re0 |
    | 10.10.0.0 | link#1 | U | re0 |
    | 10.10.0.1 | link#1 | UHS | lo0 |
    | localhost | link#7 | UH | lo0 |
    | 172.16.0.0/23 | link#3 | U | bge0 |
    | seth-proxy-server- | link#3 | UHS | lo0 |
    | 192.168.100.0/28 | link#1 | U | re0 |
    | 192.168.100.1 | link#1 | UHS | lo0 |
    | 192.168.200.0/28 | link#2 | U | re1 |
    | 192.168.200.1 | link#2 | UHS | lo0 |

    O comando:
    $ traceroute 10.200.100.100 # Não leva a lugar algum

    Já o comando:
    $ traceroute -g 10.10.0.1 10.200.100.100  # é sucesso.

    Acredito que a rota não esteja funcionando corretamente para VIP Alias



  • A lan dos seus roteatores wan tem ip válido ou são esses ips que postou mesmo?



  • Sim, são IP`s validos.

    Todos os IPs ai estão modificados.



  • O interessante é que a tabela de rotas é idêntica tanto quando é feita configuração na placa física quanto na VIP, a única diferença é o NETIF pois estou usando outra interface.

    Só que na placa fisica funciona, na VIP não. :(



  • com ip virtual você precisa verificar mais itens, aliases como lan net wan net e etc não atingem esses ips 'fora da rede'.

    Esse switch que os links estão ligados suporta vlan?



  • Marcello, Obrigado por responder.

    Infelizmente nao.

    Talvez ficasse mais fácil as configurações usando a interface VLAN.

    É como eu havia falado anteriormente, trabalhei 5 anos usando o CentOS para fazer esses roteamentos, por isso não mudamos para Switchs com VLANs.

    Atenciosamente,

    Rodrigo Prazim


  • Netgate

    Qual o retorno dos dois comandos abaixo?

    $ route get 10.200.100.0

    $ route get 10.200.100.100



  • Loos, Boa noite, Obrigado por responder.

    Segue:

    $ route get 10.200.100.0

    | route to: 10.200.100.0 |
    | destination: 10.200.100.0 |
    | mask: 255.255.255.0 |
    | gateway: 10.10.0.1 |
    | fib: 0 |
    | interface: re0 |
    | flags:<up,gateway,done,static></up,gateway,done,static> |

    | recvpipe | sendpipe | ssthresh | rtt,msec | mtu | weight | expire |
    | 0 | 0 | 0 | 0 | 1500 | 1 | 0 |


    $ route get 10.200.100.100

    | route to: 10.200.100.100 |
    | destination: 10.200.100.0 |
    | mask: 255.255.255.0 |
    | gateway: 10.10.0.1 |
    | fib: 0 |
    | interface: re0 |
    | flags:<up,gateway,done,static></up,gateway,done,static> |

    | recvpipe | sendpipe | ssthresh | rtt,msec | mtu | weight | expire |
    | 0 | 0 | 0 | 0 | 1500 | 1 | 0 |

    Atenciosamente,

    Rodrigo Prazim



  • Ninguem?



  • Consegue monitorar via tcpdump pra descobrir até onde está funcionando?


Log in to reply