Comunicar dos (2 o más) segmentos de red



  • Saludos

    Estimados, un viejo tema que no he podido resolver.

    Desde hace más de un año uso PFsense y realmente es un excelente solución. Donde he fracasado estrepitosamente es lograr que mis 2 redes, una Lan (Lan) y otra WIFI (Wireless01)se comuniquen, se que es un problemas de las reglas de firewall, anexo las que he creado y espero sus sugerencias.


  • Rebel Alliance

    Podrías explayarte respecto a lo que implica "que se comuniquen"

    ya que con las Reglas "Default allow LAN to any" en la LAN y _"Comunicación a LAN1" deberías tener "conectividad" entre ambas redes.

    También sería bueno que describas con mas detalle tu red, si adjuntas un diagrama claro, completo y detallado de la misma sería aún mejor.

    Edit:

    "dale una leída" al tema Firewall (en la documentación oficial)

    https://doc.pfsense.org/index.php/Firewall_Rule_Basics

    https://doc.pfsense.org/index.php/Firewall_Rule_Processing_Order

    https://doc.pfsense.org/index.php/Firewall_Rule_Troubleshooting

    Ya que parece que no tienes claros algunos conceptos al respecto.

    por ejemplo, fíjate que las 3 últimas reglas de la Interface "WIRELESS01" nunca aplicarán, ya que la regla anterior "aplica primero"****_



  • Saludos

    Quiero que los equipos de la LAN puedan compartir archivos e impresoras con la Wireless01 como normalmente lo harían si estuviesen en el mismo segmento. Mi red consiste en WAN (USB 3G BAN Digitel Venezuela) 1 LAN (Varios equipos conectados y 2 Wireless (01 y 02) Varios equipos conectados, todos bajo Windows, a excepción del equipo con PFsense


  • Rebel Alliance

    mmm….

    El protocolo "SMB/CIFS" no te va funcionar entre distintos segmentos de red (no podrás utilizar "mis sitios de red" para buscar/ver recursos de "otro segmento de red")

    https://forum.pfsense.org/index.php?topic=120710.msg671465#msg671465



  • Gracias PTT, voy a leer la documentación.

    Tienes razón en la redundancia de reglas, son producto de varios intentos infructuosos. Por otro lado según tu segunda recomendación entiendo que no voy a poder usar las redes igual que en Windows. Sin embargo leyendo el Post del enlace que me pasaste si puedo hacer que ciertos equipos funciones como servidores si agrego la regla que de acceso directo vía dirección IP, por favor confirmarme si estoy en lo correcto. Gracias

    Digamos que defino una regla de Wiless01 (192.168.2.1/24) hacia un equipo en la LAN (192.168.1.1/24) con IP 192.168.0.101 abriendo todos los puertos hacia esa dirección.



  • Hola.
    En las reglas de tu primera pantalla.

    Mueve las dos reglas que van de Lan Net a Wireless01 Net al inicio de las reglas o antes de la la regla "Lan to any" (2a)

    y has algunas pruebas.

    Revisa que los recursos a los cuales quieres acceder pueden ser alcanzados desde otras redes. Muchas veces los servicios se configuran para ser alcanzados solo desde la la red local .

    saludos



  • @acriollo:

    Hola.
    En las reglas de tu primera pantalla.

    Mueve las dos reglas que van de Lan Net a Wireless01 Net al inicio de las reglas o antes de la la regla "Lan to any" (2a)

    y has algunas pruebas.

    Revisa que los recursos a los cuales quieres acceder pueden ser alcanzados desde otras redes. Muchas veces los servicios se configuran para ser alcanzados solo desde la la red local .

    saludos

    Saludos, gracias por el consejo, lamentablemente no dio resultados. Puedo hacer ping de la cualquiera de los segmentos a la otra red, pero no me permite hacerlo a un equipo en particular. Ejemplo, de un equipo de la Wireless (192.168.2.12) puedo hacer ping a 192.168.1.1 pero no a un equipo en la dirección 192.168.1.101. Algún consejo, o alguien que hubiese implementado la solución



  • Yo creo que debes tambien permitir trafico en puertos 137-139 y 445 entre VLANs. Por ejemplo, en la imagen de abajo puedes ver que en la VLAN SCHOOL30 yo tengo permitido trafico desde SCHOOL30 net hacia la LAN net. Esto me permite acceder shares, printers y hosts desde la SCHOOL30 VLAN a la otra VLAN.

    Puerto 445
    TCP - Microsoft-DS Active Directory, Windows shares (Official)
    TCP - Microsoft-DS SMB file sharing (Official)

    Puertos 137-139 NetBIOS

    Si puedes hacer ping entre VLANs, ICMP ya esta permitido. Asi que andas cerca :)



  • @rafaelr:

    Yo creo que debes tambien permitir trafico en puertos 137-139 y 445 entre VLANs. Por ejemplo, en la imagen de abajo puedes ver que en la VLAN SCHOOL30 yo tengo permitido trafico desde SCHOOL30 net hacia la LAN net. Esto me permite acceder shares, printers y hosts desde la SCHOOL30 VLAN a la otra VLAN.

    Puerto 445
    TCP - Microsoft-DS Active Directory, Windows shares (Official)
    TCP - Microsoft-DS SMB file sharing (Official)

    Puertos 137-139 NetBIOS

    Si puedes hacer ping entre VLANs, ICMP ya esta permitido. Asi que andas cerca :)

    Saludos

    Gracias por el aporte

    Agregue las reglas según indicas, sin embargo no puedo hacer ping a los otros equipos en la subnet adjunto capture de pantalla con el problema



  • Walter, amigo. Te recomiendo que antes que todo comiences por eliminar todas las reglas del Firewall en el VLAN WIRELESS, dejando solamente la regla por defecto.

    States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions

    IPv4 * Wireless1 net * * * * none Default allow Wireless1 to any rule

    Entonces agregues las reglas que mencione anteriormente encima de la que permite trafico por defecto

    States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions

    Regla permitir ICMP (Ping)
    Regla permitir 445
    Regla permitir 137-139

    IPv4 * Wireless1 net * * * * none Default allow Wireless1 to any rule

    Despues puedes empezar a restringir si tu entorno realmente lo requiere.

    Regla permitir ICMP (Ping)
    Regla permitir 445
    Regla permitir 137-139
    Regla BLOQUEAR xxxx, etc.
    IPv4 * Wireless1 net * * * * none Default allow Wireless1 to any rule

    Me imagino que estas aplicando las reglas en las dos VLANs que quieres comunicar de otra manera el trafico sera permitido en una sola direccion.



  • @rafaelr:

    Walter, amigo. Te recomiendo que antes que todo comiences por eliminar todas las reglas del Firewall en el VLAN WIRELESS, dejando solamente la regla por defecto.

    States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions

    IPv4 * Wireless1 net * * * * none Default allow Wireless1 to any rule

    Entonces agregues las reglas que mencione anteriormente encima de la que permite trafico por defecto

    States Protocol Source Port Destination Port Gateway Queue Schedule Description Actions

    Regla permitir ICMP (Ping)
    Regla permitir 445
    Regla permitir 137-139

    IPv4 * Wireless1 net * * * * none Default allow Wireless1 to any rule

    Despues puedes empezar a restringir si tu entorno realmente lo requiere.

    Regla permitir ICMP (Ping)
    Regla permitir 445
    Regla permitir 137-139
    Regla BLOQUEAR xxxx, etc.
    IPv4 * Wireless1 net * * * * none Default allow Wireless1 to any rule

    Me imagino que estas aplicando las reglas en las dos VLANs que quieres comunicar de otra manera el trafico sera permitido en una sola dirección.

    Saludos, de antemano gracias por su valioso consejo y atención. Adjunto pantallas de captura con las reglas actuales tanto en la LAN cono la WIRELESS, sigo con el mismo problema, me es imposible hacer ping o comunicarme con equipos del otro segmento de red



  • Bueno Walter, veamos. Yo creo que con esas reglas las VLANs deberian poder comunicarse.

    Chequea que el Firewall de Windows no este bloqueando la comunicacion o algun antivirus quizas?
    Reinicia el Pfsense para asegurarnos que los States estan limipios, o manualmente clear States.

    Tambien asegurate de que en la interfaz LAN y la interfaz WIRELESS01 no estas bloqueando las redes reservadas


  • Rebel Alliance

    A ver, aclaremos algo

    Ninguna de las reglas (en ninguna de las 2 interfaces) marcadas en Rojo es necesaria, ya que con la regla marcada en verde es suficiente.

    lo mas seguro es que el FW de los Hosts está bloqueando el tráfico proveniente desde "otro" segmento de red (distinto al del host)






  • Saludos, mil gracias  a RafaelR y PTT

    Ambos tenían razón era un problema del firewall de Wndows 10, el mismo trabaja perfecto en el mismo segmento pero bloquea en segmento diferentes, muy agradecido a ambos por su tiempo y dedicación.

    Atentamente

    Walter Galvis



  • Walter,

    ptt tiene razon en lo que ha planteado. Como se presenta ahora, ninguna de las reglas excepto la que el ha marcado en verde es necesaria ya que esa permite el trafico completo.

    ptt, la razon por la cual esas reglas llegaron alli es porque quizas Walter quiera en algun momento prevenir otro tipo de trafico o comunicacion en las VLANs y eso le ayuda a ver como organizar las reglas. Yo lo he incluido para ayudarle a ver como puede organizar las reglas puesto a que Walter estaba anadiendo reglas que no eran realmente necesarias. Quizas hubiese sido mejor exponer un ejemplo completo :)

    Walter, quizas el ejemplo a continuacion te sirva en el futuro… Por defecto todo el trafico es permitido. Una vez que utilices bloquear, asegurate de siempre definir explicitamente que deseas permitir antes de la regla que bloquea.

    Lo que escribio ptt es importante, no necesitas tener reglas duplicadas en las interfaces si todo lo que vas a hacer es permitir el trafico. Asi que podrias eliminar las reglas innecesarias sin problema. Es recomendable.

    Saludos.

    Me alegro que encontraras solucion al problema :)



  • Hola,
    Yo habia tenido problemas con redes que se encontraban en segmentos diferentes en alguna ocasión con una versión 2.3 , El trafico saliente de la interface LAN hacia esas redes siempre era "enmascarado" y por lo mismo no se alcanzaban.  Desde entonces he usado las reglas para permitir el trafico entre interfaces.

    Lo que recuerdo también es que esto lo hace cuando hay reglas que utilizan un grupo de interfaces ( failover/balanceo) para la salida a internet.

    Tenia rato que no veia una maqueta como ésta.

    Que bien que lo resolviste,  por algun momento pensé que eso ya lo habias revisado :)

    saludos



  • Buenas tengo el mismo problema ya revice todo lo que se dice en esta publicacion pero siguen sin ver se las mis segmentos de redes alguna ayuda por favor pregunten lo que sea

    saludos


  • Rebel Alliance

    @gabrielpr2007

    No es buena idea revivir hilos antiguos, además ya "creaste/abriste" un Hilo/Tema respecto a tu problema https://forum.netgate.com/topic/131940/pfsense-ayuda
    Continúa en "ese" Hilo.