Pasar LAN NET por Firewall PFSense
-
Buenas,
A ver si en esta pregunta tengo más suerte y hay alguien que sepa ayudarme
ya que llevo desde los inicios con este tema.Os informo:
Ahora mismo tengo contratados con mi ISP el firewall (Concretamente Fortinet) que pasa todas las sedes por ese FW para tener las redes limpias. Ahora yo las he separado y cada sede sale por una INET diferente con su FW PFSense configurado.El FW Fortinet tiene la 192.168.0.2 y mis lanes son 192.168.1.0/24, 192.168.2.0/24 y 192.168.3.0/24 con una subnet 192.168.5.0/24 que pasa por la 192.168.1.0/24.
Los FW PFSense tienen la IP 192.168.x.7, entonces si pongo manualmente el gateway de cada ordenador con la IP del PFSense va bien pero quiero hacer que la gateway 192.168.x.1 que es la que tienen todos los ordenadores configurada salga por el FW PFSense y no por el otro FW Fortinet...
El FW Fortinet debe de tener una regla que enrute todas las IP's pero no consigo hacer lo mismo con el PFSense...
No se si me he explicado bien... si tienen alguna duda os intentaré aclarar lo mejor que pueda.
Un saludo.
-
@sonerzin TU Fortinet hace el enrutamiento intervlan o existe un equipo capa 3?
-
@j-sejo1 Como podría saber eso?? Lo gestiona la compañia,pero tengo acceso y puedo mirarlo.
-
Cuando un equipo hace enrutamiento intervlan, quiere decir que controla el trafico entre los segmentos "por lo general de usuarios".
Por ej: para ir del PC de administracion para la PC de contabilidad, son diferentes vlan, pero no suben al Firewall para comunicarte. Este escenario hace que si el firewall se cae, la comunicacion LAN sigue activa, incluso servidores básicos como dhcp, dns dominio, correo, etc, por lo general yo lo coloco bajo segmento LAN fuera del firewall con esta finalidad. Lo único que fallaría es internet.
Pero si el enrutamiento intervlan lo hace el Firewal (el que sea). Cuando este se cae. todo muere.
-
@j-sejo1 said in Pasar LAN NET por Firewall PFSense:
Cuando un equipo hace enrutamiento intervlan, quiere decir que controla el trafico entre los segmentos "por lo general de usuarios".
Por ej: para ir del PC de administracion para la PC de contabilidad, son diferentes vlan, pero no suben al Firewall para comunicarte. Este escenario hace que si el firewall se cae, la comunicacion LAN sigue activa, incluso servidores básicos como dhcp, dns dominio, correo, etc, por lo general yo lo coloco bajo segmento LAN fuera del firewall con esta finalidad. Lo único que fallaría es internet.
Pero si el enrutamiento intervlan lo hace el Firewal (el que sea). Cuando este se cae. todo muere.
@j-sejo1 este jueves pasado tuve que solicitar el reinicio del firewalls fortinet y lo único que pasó es que fallaba era Internet pero la lan funcionaba a la perfección. Esto que te sugiere? Muchas gracia por la ayuda!!
-
@sonerzin Si, pero siempre y cuando tengas diferentes segmentos:
192.168.5.0/24
192.168.6.0/24
192.168.7.0/24
192.168.8.0/24
etcEs decir diferentes segmentos. Si puedes entrar en el fortinet te podrar dar cuenta de la conf sin la necesitad de reiniciar.
-
@j-sejo1 Mis segmentos son:
Sede fortinet: 192.168.0.1
Sede1: 192.168.1.0/24
Subsede1: 192.168.5.0/24
Sede2: 192.168.2.0/24
Sede3: 192.168.3.0/24
-
@j-sejo1 Si quito el fortinet, (por ejemplo: lo apago) como podría hacer que el gateway 192.168.x.1 saliera por los PFSENSE's 192.168.x.7??
-
@sonerzin Ya es un tema en el equipo capa3.
Al decirme que al apagar el fortinet lo único que fallo fue el internet, pero las VLAN si tenían comunicación, entonces quiere decir que tu enrutamiento intervlan no lo hace el firewall sino el equipo capa 3.
En el equipo capa3, debe existir una regla que lo que no conozca (0.0.0.0) lo pase por el fortinet. Eso es lo que da salida a Internet u otras redes controladas por el fortinet.
Para hacer que cuando el firewall (fortinet) esta down, el trafico se vaya al Pfsense, debe ser en el equipo capa 3.
Bien sea editando la regla actual (que todo lo que no conozca se vaya ahora por el pfsense), o algo que lo haga automático. Pero repito, ya que es en equipo capa3 que te hace el enrutamiento intervlan .