Pasar LAN NET por Firewall PFSense


  • Buenas,
    A ver si en esta pregunta tengo más suerte y hay alguien que sepa ayudarme 😌 ya que llevo desde los inicios con este tema.

    Os informo:
    Ahora mismo tengo contratados con mi ISP el firewall (Concretamente Fortinet) que pasa todas las sedes por ese FW para tener las redes limpias. Ahora yo las he separado y cada sede sale por una INET diferente con su FW PFSense configurado.

    El FW Fortinet tiene la 192.168.0.2 y mis lanes son 192.168.1.0/24, 192.168.2.0/24 y 192.168.3.0/24 con una subnet 192.168.5.0/24 que pasa por la 192.168.1.0/24.

    Los FW PFSense tienen la IP 192.168.x.7, entonces si pongo manualmente el gateway de cada ordenador con la IP del PFSense va bien pero quiero hacer que la gateway 192.168.x.1 que es la que tienen todos los ordenadores configurada salga por el FW PFSense y no por el otro FW Fortinet...

    El FW Fortinet debe de tener una regla que enrute todas las IP's pero no consigo hacer lo mismo con el PFSense...

    No se si me he explicado bien... si tienen alguna duda os intentaré aclarar lo mejor que pueda.

    Un saludo.


  • @sonerzin TU Fortinet hace el enrutamiento intervlan o existe un equipo capa 3?


  • @j-sejo1 Como podría saber eso?? Lo gestiona la compañia,pero tengo acceso y puedo mirarlo.


  • Cuando un equipo hace enrutamiento intervlan, quiere decir que controla el trafico entre los segmentos "por lo general de usuarios".

    Por ej: para ir del PC de administracion para la PC de contabilidad, son diferentes vlan, pero no suben al Firewall para comunicarte. Este escenario hace que si el firewall se cae, la comunicacion LAN sigue activa, incluso servidores básicos como dhcp, dns dominio, correo, etc, por lo general yo lo coloco bajo segmento LAN fuera del firewall con esta finalidad. Lo único que fallaría es internet.

    Pero si el enrutamiento intervlan lo hace el Firewal (el que sea). Cuando este se cae. todo muere.


  • @j-sejo1 said in Pasar LAN NET por Firewall PFSense:

    Cuando un equipo hace enrutamiento intervlan, quiere decir que controla el trafico entre los segmentos "por lo general de usuarios".

    Por ej: para ir del PC de administracion para la PC de contabilidad, son diferentes vlan, pero no suben al Firewall para comunicarte. Este escenario hace que si el firewall se cae, la comunicacion LAN sigue activa, incluso servidores básicos como dhcp, dns dominio, correo, etc, por lo general yo lo coloco bajo segmento LAN fuera del firewall con esta finalidad. Lo único que fallaría es internet.

    Pero si el enrutamiento intervlan lo hace el Firewal (el que sea). Cuando este se cae. todo muere.

    @j-sejo1 este jueves pasado tuve que solicitar el reinicio del firewalls fortinet y lo único que pasó es que fallaba era Internet pero la lan funcionaba a la perfección. Esto que te sugiere? Muchas gracia por la ayuda!!


  • @sonerzin Si, pero siempre y cuando tengas diferentes segmentos:

    192.168.5.0/24
    192.168.6.0/24
    192.168.7.0/24
    192.168.8.0/24
    etc

    Es decir diferentes segmentos. Si puedes entrar en el fortinet te podrar dar cuenta de la conf sin la necesitad de reiniciar.


  • @j-sejo1 Mis segmentos son:
    Sede fortinet: 192.168.0.1
    Sede1: 192.168.1.0/24
    Subsede1: 192.168.5.0/24
    Sede2: 192.168.2.0/24
    Sede3: 192.168.3.0/24


  • @j-sejo1 Si quito el fortinet, (por ejemplo: lo apago) como podría hacer que el gateway 192.168.x.1 saliera por los PFSENSE's 192.168.x.7??


  • @sonerzin Ya es un tema en el equipo capa3.

    Al decirme que al apagar el fortinet lo único que fallo fue el internet, pero las VLAN si tenían comunicación, entonces quiere decir que tu enrutamiento intervlan no lo hace el firewall sino el equipo capa 3.

    En el equipo capa3, debe existir una regla que lo que no conozca (0.0.0.0) lo pase por el fortinet. Eso es lo que da salida a Internet u otras redes controladas por el fortinet.

    Para hacer que cuando el firewall (fortinet) esta down, el trafico se vaya al Pfsense, debe ser en el equipo capa 3.

    Bien sea editando la regla actual (que todo lo que no conozca se vaya ahora por el pfsense), o algo que lo haga automático. Pero repito, ya que es en equipo capa3 que te hace el enrutamiento intervlan .


  • Después de un mes por falta de tiempo y haciendo pruebas, mi isp me comentó que debería hacer estos cambios en mi router(192.168.1.1)...

    Cambios a realizar:

    En el equipo central_inet_ppal#
    Hay que añadir rutas por defecto:
    ip route-static 192.168.0.0 255.255.0.0 GigabitEthernet0/0/1 172.16.1.250 description RUTA_VPN
    ip route-static 10.0.0.0 255.0.0.0 GigabitEthernet0/0/1 172.16.1.250 description RUTA_VPN
    ip route-static 172.16.0.0 255.240.0.0 GigabitEthernet0/0/1 172.16.1.250 description RUTA_VPN

    En el equipo central_vpn_ppal#
    Hay que cambiar LAN:
    Ip address 172.16.1.250 255.255.255.0

    Hay que añadir ruta hacia LAN:
    Ip route 192.168.1.0 255.255.255.0 Vlanif1 172.16.1.254

    Hay que cambiar export de BGP (CONNECTED por STATIC)
    No ip prefix-list CONNECTED2BGP seq 5
    ip prefix-list STATIC2BGP seq 5 permit 192.168.1.0/24

    Hay que añadir CONNECTED para la nueva LAN:
    ip prefix-list CONNECTED2BGP seq 5 permit 172.16.1.0/24
    ip prefix-list anuncio-PE_VPN-MPLS_out seq 15 permit 172.16.1.0/24

    En el FW PFSENSE, en la pata LAN:
    Hay que cambiar la LAN 192.168.1.7 por 192.168.1.1

    Después de hacer todo esto, fue bien la salida d e Internet pero la VPN no se entendía... Se ve que la nueva IP del router ISP (172.16.1.250) no se entendía con el pfsense.. (192.168.1.1 después del cambio).
    No supe redireccionar la VPN ni que hacer en realidad... No sé entendían.. Al final lo eché todo para atrás ya que no funcionó... Y estoy desesperado.
    Decir que cada cambio tengo que llamar al ISP para que lo hagan ya que el router de ISP se encargan ellos.

    Tengo un lío en la cabeza que no se por donde tirar 😥

    No consigo que funciona VPN/Wan...

    A ver si me podéis echar una mano. Si no entendéis algo decídmelo e intento explicarlo mejor.

    Gracias.


  • El mayor problema que tenes ahí, es tu ISP que lleva el control TOTAL de tu red y debes pedirle permiso para todo. Debes configurar tu servidor de VPN en el pfSense similar a como estaba antes. No sé si era el equipo capa 3 o que. Debes ser claro si la conexión VPN es Site to Site o Cliente VPN a servidor VPN.

    Para todo eso, necesitas abrir puertos y si el ISP te bloquea o atiende cuando le da la gana, pues estas fregado por ese lado. A fuerza, la IP que te suministra debe ser publica y fija.

    Sería mejor que colocaras un esquema de tu red y la forma en que tenes configurada la misma.


  • organigrama
    Tenía una guardada en el móvil, y la he modificado con un editor para que sea más real.

    LA IP pública es fija en todas las sedes. Cada sede es una ciudad diferente con un pfsense que los tengo conectados con OpenVPN.