Problema con MultiLAN / MultiWAN

saludos, tengo 03 redes de las cuales una es la principal, en esta primera mi ISP me dio 2 modem uno de internet y otro L2L (data) y la red es 171.15.10.0/24 la segunda red solo tiene un modem L2L con re 171.15.20.0/24 y el dns es 171.15.10.1, la tercera red es igual y su segmento es 171.15.30.0/24 y el dns es 171.15.10.1.

Ahora instale pfsense y le coloque la ip publica y demas en la WAN y configure la LAN para la red principal y todo esta ok y cree una tabla de ruteo por cada segmento de red que existe (img01) tambien he creado reglas en el firewall para estas redes (img02) pero cuando tratto de navegar por internet no cargan las paginas pero si tengo conexion solo algunas paginas cargan, taambien ejecute un ping a google.com y no respondio, tambien realice un tracert a google pero solo llega hasta 171.15.10.1 depues se pierde la conexion (img03) pero en los log del firewall aparece como si se huiera realizado con exito. Ojala alguien me pueda apoyar.

img01.png_thumb

img02.png_thumb

img03.png_thumb

BrujoNic

¿Qué pasa si solo dejas la IP pública que te da el ISP y configuras la LAN sin la configuración Lan to Lan? ¿navega a internet? Si no es así, entonces debes primero resolver eso porque puede ser simplemente la configuración de la puerta de enlace (gateway).

En caso de que si funcione y al configurar el "otro modem" Lan to Lan no funcione, es necesario e imprescindible, que entres a la configuración del mismo y te fijes bien cómo está configurado y comunicando.

De igual forma, debes fijarte en la otra red.

Debes recordar que actualmente tenes dispositivos físicos configurados y si no sabes exactamente como están configurados, no vas a lograr que funcione y siempre es conveniente ir realizando paso a paso las configuraciones para que vayas descartando quien o qué tiene el error.

En otras palabras, primero configura el internet ISP solamente para asegurarte que está bien. Pasada esa prueba configura el modem L2L y pasada esa prueba, finalizas con la última configuración. De esa forma vas a poder detectar dónde puede estar el error.

Sería bueno saber qué dispositivos físicos tenes para que uno se pueda dar una idea.

Saludos BrujoNic, gracias por tu respuesta bueno algo curioso es que cuando desde la red02 hago un ping a google.com pero aparece tiempo de espera agotado pero en el log del firewall aparece como si dicha conexión tuvo éxito. Te adjunto el diagrama de red que me dejo la anterior gestión.

@BrujoNic:

¿Qué pasa si solo dejas la IP pública que te da el ISP y configuras la LAN sin la configuración Lan to Lan?

Asi mismo, a que te refieres con dejar la IP Publica osea que el router cisco del ISP tenga la ip publica y que el pfsense sea como un equipo mas de la red o modo gateway

01.png_thumb

BrujoNic

Si te fijas, te puse al final que "sería bueno saber qué dispositivos físicos tenes en red". Solo decis que tenes un router Cisco que te da el ISP que contrataste, pero dudo que sea solo eso, debe ser un modem/router y sabiendo el modelo es que se podría tener una idea e igual, si tenes acceso al mismo, podrías ves como está configurado.

Igual es con el "otro dispositivo" que esta como L2L que supongo es Lan to LAN. ¿Está conectado al Cisco ese que te dio tu ISP? Si es así, ¿Cómo se comunican?

El otro L2L, no indicas si también es un dispositivo o es configurado por software.

Al decir que configures el pfSense solo con la conexión que te da tu ISP, es que conectes ese dispositivo a la tarjeta WAN del pfSense y la otra tarjeta de red que vayas a asignar a LAN o red interna, la configures sin nada de Lan to Lan a ver si navega para asegurarte que todo está bien.

En caso de realizar esa prueba y configures una IP fija en la WAN del pfSense, debes crear o configurar la puerta de enlace (gateway) para que navegue.

Hecho lo anterior, es que podrías determinar que la conexión ISP internet y pfSense, está bien para luego configurar las redes Lan to Lan, pero insisto, debes saber cómo están configurados internamente.

Realizar configuraciones de equipos físicos a un solo equipo pfSense, no es simplemente conectarlo y punto, debes tener totalmente claro cómo están configurados y comunicandose.

Saludos y por favor, lee bien todo lo que te he escrito.

bellera

Leído rápidamente… entiendo que tienes varias LAN y varias WAN.

En tu primer posteo indicas unas rutas estáticas. Nunca deben crearse rutas estáticas entre subredes de pfSense gestionadas por las interfases. Es el propio pfSense quien hace el ruteo en ese caso.

Saludos bellera, mi proveedor de ISP me dice que debo de recrear las políticas que tienen en su router en el firewall; esto debido a que cuando puse el pfsense en funcionamiento la red local funciono sin problemas pero las otras sedes podían hacerse ping pero no entraban a internet o solo carga las paginas que estaban en favoritos y el estado de la conexión estaba normal. Que me recomendarías para solucionar esto, abajo pongo los datos del cliente, como o en que secciones tendria que cambiarlos en el pfsense, pues hay una que es en las reglas de NAT del pfsense pero las otras no se donde. Desde ya muchas gracias.

!
! No configuration change since last restart
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec localtime show-timezone
service password-encryption
no service dhcp
!
hostname CID008746
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 8
logging buffered 4096 informational
logging console critical
enable secret 5
!
aaa new-model
!
!
aaa authentication fail-message ^CC .Authentication Fails. Please try again, only 3
options.
aaa authentication login default group tacacs+ local
aaa authentication login CONSOLE group tacacs+ local
aaa authentication login AUXILIAR group tacacs+ local
aaa authentication login VIRTUAL_TERMINAL group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default group tacacs+ if-authenticated
aaa authorization commands 1 default group tacacs+ none
aaa authorization commands 15 default group tacacs+ none
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
!
aaa session-id common
clock timezone pet -5
no ip source-route
ip cef
!
!

interface FastEthernet0/1
description Interface LAN
bandwidth 35000
ip address 171.15.10.221 255.255.255.0 secondary
ip address 191.a.b.113 255.255.255.XX
no ip unreachables
no ip proxy-arp
ip accounting output-packets
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
service-policy output POLICY-SHAPE-INTERNET
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.100.8.113 name CORE_OPTICAL
ip route 171.15.20.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE00
ip route 171.15.30.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE01
ip route 171.15.40.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE02
ip route 171.15.50.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE03
ip route 171.15.60.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE04
ip route 192.168.110.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE05
!

ip nat inside source list 10 interface FastEthernet0/1 overload
ip nat inside source static tcp 171.15.10.7 8091 191.a.b.116 8091 extendable
ip nat inside source static tcp 171.15.20.175 22 191.a.b.119 22 extendable
ip nat inside source static tcp 171.15.20.175 80 191.a.b.119 80 extendable
ip nat inside source static tcp 171.15.20.175 5432 191.a.b.119 5432 extendable
ip nat inside source static tcp 171.15.10.33 80 191.a.b.120 80 extendable

access-list 10 permit 192.168.110.0 0.0.0.255
access-list 10 permit 171.15.10.0 0.0.0.255
access-list 10 permit 171.15.20.0 0.0.0.255
access-list 10 permit 171.15.30.0 0.0.0.255
access-list 10 permit 171.15.40.0 0.0.0.255
access-list 10 permit 171.15.60.0 0.0.0.255
access-list 10 permit 171.15.50.0 0.0.0.255