Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Problema con MultiLAN / MultiWAN

    Español
    3
    6
    608
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      klausneil last edited by

      saludos, tengo 03 redes de las cuales una es la principal, en esta primera mi ISP me dio 2 modem uno de internet y otro L2L (data) y la red es 171.15.10.0/24 la segunda red solo tiene un modem L2L  con re 171.15.20.0/24 y el dns es 171.15.10.1, la tercera red es igual y su segmento es 171.15.30.0/24 y el dns es 171.15.10.1.

      Ahora instale pfsense y le coloque la ip publica y demas en la WAN y configure la LAN para la red principal y todo esta ok y cree una tabla de ruteo por cada segmento de red que existe (img01) tambien he creado reglas en el firewall para estas redes (img02) pero cuando tratto de navegar por internet no cargan las paginas pero  si tengo conexion solo algunas paginas cargan, taambien ejecute un ping a google.com y no respondio, tambien realice un tracert a google pero solo llega hasta 171.15.10.1 depues se pierde la conexion (img03) pero en los log del firewall aparece como si se huiera realizado con exito. Ojala alguien me pueda apoyar.







      1 Reply Last reply Reply Quote 0
      • BrujoNic
        BrujoNic last edited by

        ¿Qué pasa si solo dejas la IP pública que te da el ISP y configuras la LAN sin la configuración Lan to Lan? ¿navega a internet? Si no es así, entonces debes primero resolver eso porque puede ser simplemente la configuración de la puerta de enlace (gateway).

        En caso de que si funcione y al configurar el "otro modem" Lan to Lan no funcione, es necesario e imprescindible, que entres a la configuración del mismo y te fijes bien cómo está configurado y comunicando.

        De igual forma, debes fijarte en la otra red.

        Debes recordar que actualmente tenes dispositivos físicos configurados y si no sabes exactamente como están configurados, no vas a lograr que funcione y siempre es conveniente ir realizando paso a paso las configuraciones para que vayas descartando quien o qué tiene el error.

        En otras palabras, primero configura el internet ISP solamente para asegurarte que está bien. Pasada esa prueba configura el modem L2L y pasada esa prueba, finalizas con la última configuración.  De esa forma vas a poder detectar dónde puede estar el error.

        Sería bueno saber qué dispositivos físicos tenes para que uno se pueda dar una idea.

        1 Reply Last reply Reply Quote 0
        • K
          klausneil last edited by

          Saludos BrujoNic, gracias por tu respuesta bueno algo curioso es que cuando desde la red02 hago un ping a google.com pero aparece tiempo de espera agotado pero en el log del firewall aparece como si dicha conexión tuvo éxito. Te adjunto el diagrama de red que me dejo la anterior gestión.

          @BrujoNic:

          ¿Qué pasa si solo dejas la IP pública que te da el ISP y configuras la LAN sin la configuración Lan to Lan?

          Asi mismo, a que te refieres con dejar la IP Publica osea que el router cisco del ISP tenga la ip publica y que el pfsense sea como un equipo mas de la red o modo gateway


          1 Reply Last reply Reply Quote 0
          • BrujoNic
            BrujoNic last edited by

            Si te fijas, te puse al final que "sería bueno saber qué dispositivos físicos tenes en red".  Solo decis que tenes un router Cisco que te da el ISP que contrataste, pero dudo que sea solo eso, debe ser un modem/router y sabiendo el modelo es que se podría tener una idea e igual, si tenes acceso al mismo, podrías ves como está configurado.

            Igual es con el "otro dispositivo" que esta como L2L que supongo es Lan to LAN.  ¿Está conectado al Cisco ese que te dio tu ISP? Si es así, ¿Cómo se comunican?

            El otro L2L, no indicas si también es un dispositivo o es configurado por software.

            Al decir que configures el pfSense solo con la conexión que te da tu ISP, es que conectes ese dispositivo a la tarjeta WAN del pfSense y la otra tarjeta de red que vayas a asignar a LAN o red interna, la configures sin nada de Lan to Lan a ver si navega para asegurarte que todo está bien.

            En caso de realizar esa prueba y configures una IP fija en la WAN del pfSense, debes crear o configurar la puerta de enlace (gateway) para que navegue.

            Hecho lo anterior, es que podrías determinar que la conexión ISP internet y pfSense, está bien para luego configurar las redes Lan to Lan, pero insisto, debes saber cómo están configurados internamente.

            Realizar configuraciones de equipos físicos a un solo equipo pfSense, no es simplemente conectarlo y punto, debes tener totalmente claro cómo están configurados y comunicandose.

            Saludos y por favor, lee bien todo lo que te he escrito.

            1 Reply Last reply Reply Quote 0
            • bellera
              bellera last edited by

              Leído rápidamente… entiendo que tienes varias LAN y varias WAN.

              En tu primer posteo indicas unas rutas estáticas. Nunca deben crearse rutas estáticas entre subredes de pfSense gestionadas por las interfases. Es el propio pfSense quien hace el ruteo en ese caso.

              1 Reply Last reply Reply Quote 0
              • K
                klausneil last edited by

                Saludos bellera, mi proveedor de ISP me dice que debo de recrear las políticas que tienen en su router en el firewall; esto debido a que cuando puse el pfsense en funcionamiento la red local funciono sin problemas pero las otras sedes podían hacerse ping pero no entraban a internet o solo carga las paginas que estaban en favoritos y el estado de la conexión estaba normal. Que me recomendarías para solucionar esto, abajo pongo los datos del cliente, como o en que secciones tendria que cambiarlos en el pfsense, pues hay una que es en las reglas de NAT del pfsense pero las otras no se donde. Desde ya muchas gracias.

                !
                ! No configuration change since last restart
                !
                version 12.4
                no service pad
                service tcp-keepalives-in
                service tcp-keepalives-out
                service timestamps debug datetime msec
                service timestamps log datetime msec localtime show-timezone
                service password-encryption
                no service dhcp
                !
                hostname CID008746
                !
                boot-start-marker
                boot-end-marker
                !
                security authentication failure rate 3 log
                security passwords min-length 8
                logging buffered 4096 informational
                logging console critical
                enable secret 5
                !
                aaa new-model
                !
                !
                aaa authentication fail-message ^CC .Authentication Fails. Please try again, only 3
                options.
                aaa authentication login default group tacacs+ local
                aaa authentication login CONSOLE group tacacs+ local
                aaa authentication login AUXILIAR group tacacs+ local
                aaa authentication login VIRTUAL_TERMINAL group tacacs+ local
                aaa authentication enable default group tacacs+ enable
                aaa authorization exec default group tacacs+ if-authenticated
                aaa authorization commands 1 default group tacacs+ none
                aaa authorization commands 15 default group tacacs+ none
                aaa accounting exec default start-stop group tacacs+
                aaa accounting commands 1 default start-stop group tacacs+
                aaa accounting commands 15 default start-stop group tacacs+
                !
                aaa session-id common
                clock timezone pet -5
                no ip source-route
                ip cef
                !
                !

                interface FastEthernet0/1
                description Interface LAN
                bandwidth 35000
                ip address 171.15.10.221 255.255.255.0 secondary
                ip address 191.a.b.113 255.255.255.XX
                no ip unreachables
                no ip proxy-arp
                ip accounting output-packets
                ip flow ingress
                ip flow egress
                ip nat inside
                ip virtual-reassembly
                ip route-cache flow
                duplex auto
                speed auto
                service-policy output POLICY-SHAPE-INTERNET
                !
                ip forward-protocol nd
                ip route 0.0.0.0 0.0.0.0 10.100.8.113 name CORE_OPTICAL
                ip route 171.15.20.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE00
                ip route 171.15.30.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE01
                ip route 171.15.40.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE02
                ip route 171.15.50.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE03
                ip route 171.15.60.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE04
                ip route 192.168.110.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE05
                !

                ip nat inside source list 10 interface FastEthernet0/1 overload
                ip nat inside source static tcp 171.15.10.7 8091 191.a.b.116 8091 extendable
                ip nat inside source static tcp 171.15.20.175 22 191.a.b.119 22 extendable
                ip nat inside source static tcp 171.15.20.175 80 191.a.b.119 80 extendable
                ip nat inside source static tcp 171.15.20.175 5432 191.a.b.119 5432 extendable
                ip nat inside source static tcp 171.15.10.33 80 191.a.b.120 80 extendable

                access-list 10 permit 192.168.110.0 0.0.0.255
                access-list 10 permit 171.15.10.0 0.0.0.255
                access-list 10 permit 171.15.20.0 0.0.0.255
                access-list 10 permit 171.15.30.0 0.0.0.255
                access-list 10 permit 171.15.40.0 0.0.0.255
                access-list 10 permit 171.15.60.0 0.0.0.255
                access-list 10 permit 171.15.50.0 0.0.0.255

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post

                Products

                • Platform Overview
                • TNSR
                • pfSense
                • Appliances

                Services

                • Training
                • Professional Services

                Support

                • Subscription Plans
                • Contact Support
                • Product Lifecycle
                • Documentation

                News

                • Media Coverage
                • Press
                • Events

                Resources

                • Blog
                • FAQ
                • Find a Partner
                • Resource Library
                • Security Information

                Company

                • About Us
                • Careers
                • Partners
                • Contact Us
                • Legal
                Our Mission

                We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                Subscribe to our Newsletter

                Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                © 2021 Rubicon Communications, LLC | Privacy Policy