Problema con MultiLAN / MultiWAN



  • saludos, tengo 03 redes de las cuales una es la principal, en esta primera mi ISP me dio 2 modem uno de internet y otro L2L (data) y la red es 171.15.10.0/24 la segunda red solo tiene un modem L2L  con re 171.15.20.0/24 y el dns es 171.15.10.1, la tercera red es igual y su segmento es 171.15.30.0/24 y el dns es 171.15.10.1.

    Ahora instale pfsense y le coloque la ip publica y demas en la WAN y configure la LAN para la red principal y todo esta ok y cree una tabla de ruteo por cada segmento de red que existe (img01) tambien he creado reglas en el firewall para estas redes (img02) pero cuando tratto de navegar por internet no cargan las paginas pero  si tengo conexion solo algunas paginas cargan, taambien ejecute un ping a google.com y no respondio, tambien realice un tracert a google pero solo llega hasta 171.15.10.1 depues se pierde la conexion (img03) pero en los log del firewall aparece como si se huiera realizado con exito. Ojala alguien me pueda apoyar.









  • ¿Qué pasa si solo dejas la IP pública que te da el ISP y configuras la LAN sin la configuración Lan to Lan? ¿navega a internet? Si no es así, entonces debes primero resolver eso porque puede ser simplemente la configuración de la puerta de enlace (gateway).

    En caso de que si funcione y al configurar el "otro modem" Lan to Lan no funcione, es necesario e imprescindible, que entres a la configuración del mismo y te fijes bien cómo está configurado y comunicando.

    De igual forma, debes fijarte en la otra red.

    Debes recordar que actualmente tenes dispositivos físicos configurados y si no sabes exactamente como están configurados, no vas a lograr que funcione y siempre es conveniente ir realizando paso a paso las configuraciones para que vayas descartando quien o qué tiene el error.

    En otras palabras, primero configura el internet ISP solamente para asegurarte que está bien. Pasada esa prueba configura el modem L2L y pasada esa prueba, finalizas con la última configuración.  De esa forma vas a poder detectar dónde puede estar el error.

    Sería bueno saber qué dispositivos físicos tenes para que uno se pueda dar una idea.



  • Saludos BrujoNic, gracias por tu respuesta bueno algo curioso es que cuando desde la red02 hago un ping a google.com pero aparece tiempo de espera agotado pero en el log del firewall aparece como si dicha conexión tuvo éxito. Te adjunto el diagrama de red que me dejo la anterior gestión.

    @BrujoNic:

    ¿Qué pasa si solo dejas la IP pública que te da el ISP y configuras la LAN sin la configuración Lan to Lan?

    Asi mismo, a que te refieres con dejar la IP Publica osea que el router cisco del ISP tenga la ip publica y que el pfsense sea como un equipo mas de la red o modo gateway




  • Si te fijas, te puse al final que "sería bueno saber qué dispositivos físicos tenes en red".  Solo decis que tenes un router Cisco que te da el ISP que contrataste, pero dudo que sea solo eso, debe ser un modem/router y sabiendo el modelo es que se podría tener una idea e igual, si tenes acceso al mismo, podrías ves como está configurado.

    Igual es con el "otro dispositivo" que esta como L2L que supongo es Lan to LAN.  ¿Está conectado al Cisco ese que te dio tu ISP? Si es así, ¿Cómo se comunican?

    El otro L2L, no indicas si también es un dispositivo o es configurado por software.

    Al decir que configures el pfSense solo con la conexión que te da tu ISP, es que conectes ese dispositivo a la tarjeta WAN del pfSense y la otra tarjeta de red que vayas a asignar a LAN o red interna, la configures sin nada de Lan to Lan a ver si navega para asegurarte que todo está bien.

    En caso de realizar esa prueba y configures una IP fija en la WAN del pfSense, debes crear o configurar la puerta de enlace (gateway) para que navegue.

    Hecho lo anterior, es que podrías determinar que la conexión ISP internet y pfSense, está bien para luego configurar las redes Lan to Lan, pero insisto, debes saber cómo están configurados internamente.

    Realizar configuraciones de equipos físicos a un solo equipo pfSense, no es simplemente conectarlo y punto, debes tener totalmente claro cómo están configurados y comunicandose.

    Saludos y por favor, lee bien todo lo que te he escrito.



  • Leído rápidamente… entiendo que tienes varias LAN y varias WAN.

    En tu primer posteo indicas unas rutas estáticas. Nunca deben crearse rutas estáticas entre subredes de pfSense gestionadas por las interfases. Es el propio pfSense quien hace el ruteo en ese caso.



  • Saludos bellera, mi proveedor de ISP me dice que debo de recrear las políticas que tienen en su router en el firewall; esto debido a que cuando puse el pfsense en funcionamiento la red local funciono sin problemas pero las otras sedes podían hacerse ping pero no entraban a internet o solo carga las paginas que estaban en favoritos y el estado de la conexión estaba normal. Que me recomendarías para solucionar esto, abajo pongo los datos del cliente, como o en que secciones tendria que cambiarlos en el pfsense, pues hay una que es en las reglas de NAT del pfsense pero las otras no se donde. Desde ya muchas gracias.

    !
    ! No configuration change since last restart
    !
    version 12.4
    no service pad
    service tcp-keepalives-in
    service tcp-keepalives-out
    service timestamps debug datetime msec
    service timestamps log datetime msec localtime show-timezone
    service password-encryption
    no service dhcp
    !
    hostname CID008746
    !
    boot-start-marker
    boot-end-marker
    !
    security authentication failure rate 3 log
    security passwords min-length 8
    logging buffered 4096 informational
    logging console critical
    enable secret 5
    !
    aaa new-model
    !
    !
    aaa authentication fail-message ^CC .Authentication Fails. Please try again, only 3
    options.
    aaa authentication login default group tacacs+ local
    aaa authentication login CONSOLE group tacacs+ local
    aaa authentication login AUXILIAR group tacacs+ local
    aaa authentication login VIRTUAL_TERMINAL group tacacs+ local
    aaa authentication enable default group tacacs+ enable
    aaa authorization exec default group tacacs+ if-authenticated
    aaa authorization commands 1 default group tacacs+ none
    aaa authorization commands 15 default group tacacs+ none
    aaa accounting exec default start-stop group tacacs+
    aaa accounting commands 1 default start-stop group tacacs+
    aaa accounting commands 15 default start-stop group tacacs+
    !
    aaa session-id common
    clock timezone pet -5
    no ip source-route
    ip cef
    !
    !

    interface FastEthernet0/1
    description Interface LAN
    bandwidth 35000
    ip address 171.15.10.221 255.255.255.0 secondary
    ip address 191.a.b.113 255.255.255.XX
    no ip unreachables
    no ip proxy-arp
    ip accounting output-packets
    ip flow ingress
    ip flow egress
    ip nat inside
    ip virtual-reassembly
    ip route-cache flow
    duplex auto
    speed auto
    service-policy output POLICY-SHAPE-INTERNET
    !
    ip forward-protocol nd
    ip route 0.0.0.0 0.0.0.0 10.100.8.113 name CORE_OPTICAL
    ip route 171.15.20.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE00
    ip route 171.15.30.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE01
    ip route 171.15.40.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE02
    ip route 171.15.50.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE03
    ip route 171.15.60.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE04
    ip route 192.168.110.0 255.255.255.0 171.15.10.28 name CNX_TO_SITE05
    !

    ip nat inside source list 10 interface FastEthernet0/1 overload
    ip nat inside source static tcp 171.15.10.7 8091 191.a.b.116 8091 extendable
    ip nat inside source static tcp 171.15.20.175 22 191.a.b.119 22 extendable
    ip nat inside source static tcp 171.15.20.175 80 191.a.b.119 80 extendable
    ip nat inside source static tcp 171.15.20.175 5432 191.a.b.119 5432 extendable
    ip nat inside source static tcp 171.15.10.33 80 191.a.b.120 80 extendable

    access-list 10 permit 192.168.110.0 0.0.0.255
    access-list 10 permit 171.15.10.0 0.0.0.255
    access-list 10 permit 171.15.20.0 0.0.0.255
    access-list 10 permit 171.15.30.0 0.0.0.255
    access-list 10 permit 171.15.40.0 0.0.0.255
    access-list 10 permit 171.15.60.0 0.0.0.255
    access-list 10 permit 171.15.50.0 0.0.0.255


Log in to reply