Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pasar LAN NET por Firewall PFSense

    Scheduled Pinned Locked Moved Español
    12 Posts 3 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      sonerzin
      last edited by sonerzin

      Buenas,
      A ver si en esta pregunta tengo más suerte y hay alguien que sepa ayudarme 😌 ya que llevo desde los inicios con este tema.

      Os informo:
      Ahora mismo tengo contratados con mi ISP el firewall (Concretamente Fortinet) que pasa todas las sedes por ese FW para tener las redes limpias. Ahora yo las he separado y cada sede sale por una INET diferente con su FW PFSense configurado.

      El FW Fortinet tiene la 192.168.0.2 y mis lanes son 192.168.1.0/24, 192.168.2.0/24 y 192.168.3.0/24 con una subnet 192.168.5.0/24 que pasa por la 192.168.1.0/24.

      Los FW PFSense tienen la IP 192.168.x.7, entonces si pongo manualmente el gateway de cada ordenador con la IP del PFSense va bien pero quiero hacer que la gateway 192.168.x.1 que es la que tienen todos los ordenadores configurada salga por el FW PFSense y no por el otro FW Fortinet...

      El FW Fortinet debe de tener una regla que enrute todas las IP's pero no consigo hacer lo mismo con el PFSense...

      No se si me he explicado bien... si tienen alguna duda os intentaré aclarar lo mejor que pueda.

      Un saludo.

      J 1 Reply Last reply Reply Quote 0
      • J
        j.sejo1 @sonerzin
        last edited by

        @sonerzin TU Fortinet hace el enrutamiento intervlan o existe un equipo capa 3?

        Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
        Hardening Linux
        Telegram: @vtlbackupbacula
        http://www.smartitbc.com/en/contact.html

        1 Reply Last reply Reply Quote 1
        • S
          sonerzin
          last edited by sonerzin

          @j-sejo1 Como podría saber eso?? Lo gestiona la compañia,pero tengo acceso y puedo mirarlo.

          1 Reply Last reply Reply Quote 0
          • J
            j.sejo1
            last edited by

            Cuando un equipo hace enrutamiento intervlan, quiere decir que controla el trafico entre los segmentos "por lo general de usuarios".

            Por ej: para ir del PC de administracion para la PC de contabilidad, son diferentes vlan, pero no suben al Firewall para comunicarte. Este escenario hace que si el firewall se cae, la comunicacion LAN sigue activa, incluso servidores básicos como dhcp, dns dominio, correo, etc, por lo general yo lo coloco bajo segmento LAN fuera del firewall con esta finalidad. Lo único que fallaría es internet.

            Pero si el enrutamiento intervlan lo hace el Firewal (el que sea). Cuando este se cae. todo muere.

            Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
            Hardening Linux
            Telegram: @vtlbackupbacula
            http://www.smartitbc.com/en/contact.html

            S 1 Reply Last reply Reply Quote 1
            • S
              sonerzin @j.sejo1
              last edited by

              @j-sejo1 said in Pasar LAN NET por Firewall PFSense:

              Cuando un equipo hace enrutamiento intervlan, quiere decir que controla el trafico entre los segmentos "por lo general de usuarios".

              Por ej: para ir del PC de administracion para la PC de contabilidad, son diferentes vlan, pero no suben al Firewall para comunicarte. Este escenario hace que si el firewall se cae, la comunicacion LAN sigue activa, incluso servidores básicos como dhcp, dns dominio, correo, etc, por lo general yo lo coloco bajo segmento LAN fuera del firewall con esta finalidad. Lo único que fallaría es internet.

              Pero si el enrutamiento intervlan lo hace el Firewal (el que sea). Cuando este se cae. todo muere.

              @j-sejo1 este jueves pasado tuve que solicitar el reinicio del firewalls fortinet y lo único que pasó es que fallaba era Internet pero la lan funcionaba a la perfección. Esto que te sugiere? Muchas gracia por la ayuda!!

              J 1 Reply Last reply Reply Quote 0
              • J
                j.sejo1 @sonerzin
                last edited by

                @sonerzin Si, pero siempre y cuando tengas diferentes segmentos:

                192.168.5.0/24
                192.168.6.0/24
                192.168.7.0/24
                192.168.8.0/24
                etc

                Es decir diferentes segmentos. Si puedes entrar en el fortinet te podrar dar cuenta de la conf sin la necesitad de reiniciar.

                Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
                Hardening Linux
                Telegram: @vtlbackupbacula
                http://www.smartitbc.com/en/contact.html

                S 2 Replies Last reply Reply Quote 1
                • S
                  sonerzin @j.sejo1
                  last edited by

                  @j-sejo1 Mis segmentos son:
                  Sede fortinet: 192.168.0.1
                  Sede1: 192.168.1.0/24
                  Subsede1: 192.168.5.0/24
                  Sede2: 192.168.2.0/24
                  Sede3: 192.168.3.0/24

                  1 Reply Last reply Reply Quote 0
                  • S
                    sonerzin @j.sejo1
                    last edited by

                    @j-sejo1 Si quito el fortinet, (por ejemplo: lo apago) como podría hacer que el gateway 192.168.x.1 saliera por los PFSENSE's 192.168.x.7??

                    J 1 Reply Last reply Reply Quote 0
                    • J
                      j.sejo1 @sonerzin
                      last edited by

                      @sonerzin Ya es un tema en el equipo capa3.

                      Al decirme que al apagar el fortinet lo único que fallo fue el internet, pero las VLAN si tenían comunicación, entonces quiere decir que tu enrutamiento intervlan no lo hace el firewall sino el equipo capa 3.

                      En el equipo capa3, debe existir una regla que lo que no conozca (0.0.0.0) lo pase por el fortinet. Eso es lo que da salida a Internet u otras redes controladas por el fortinet.

                      Para hacer que cuando el firewall (fortinet) esta down, el trafico se vaya al Pfsense, debe ser en el equipo capa 3.

                      Bien sea editando la regla actual (que todo lo que no conozca se vaya ahora por el pfsense), o algo que lo haga automático. Pero repito, ya que es en equipo capa3 que te hace el enrutamiento intervlan .

                      Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
                      Hardening Linux
                      Telegram: @vtlbackupbacula
                      http://www.smartitbc.com/en/contact.html

                      1 Reply Last reply Reply Quote 0
                      • S
                        sonerzin
                        last edited by

                        Después de un mes por falta de tiempo y haciendo pruebas, mi isp me comentó que debería hacer estos cambios en mi router(192.168.1.1)...

                        Cambios a realizar:

                        En el equipo central_inet_ppal#
                        Hay que añadir rutas por defecto:
                        ip route-static 192.168.0.0 255.255.0.0 GigabitEthernet0/0/1 172.16.1.250 description RUTA_VPN
                        ip route-static 10.0.0.0 255.0.0.0 GigabitEthernet0/0/1 172.16.1.250 description RUTA_VPN
                        ip route-static 172.16.0.0 255.240.0.0 GigabitEthernet0/0/1 172.16.1.250 description RUTA_VPN

                        En el equipo central_vpn_ppal#
                        Hay que cambiar LAN:
                        Ip address 172.16.1.250 255.255.255.0

                        Hay que añadir ruta hacia LAN:
                        Ip route 192.168.1.0 255.255.255.0 Vlanif1 172.16.1.254

                        Hay que cambiar export de BGP (CONNECTED por STATIC)
                        No ip prefix-list CONNECTED2BGP seq 5
                        ip prefix-list STATIC2BGP seq 5 permit 192.168.1.0/24

                        Hay que añadir CONNECTED para la nueva LAN:
                        ip prefix-list CONNECTED2BGP seq 5 permit 172.16.1.0/24
                        ip prefix-list anuncio-PE_VPN-MPLS_out seq 15 permit 172.16.1.0/24

                        En el FW PFSENSE, en la pata LAN:
                        Hay que cambiar la LAN 192.168.1.7 por 192.168.1.1

                        Después de hacer todo esto, fue bien la salida d e Internet pero la VPN no se entendía... Se ve que la nueva IP del router ISP (172.16.1.250) no se entendía con el pfsense.. (192.168.1.1 después del cambio).
                        No supe redireccionar la VPN ni que hacer en realidad... No sé entendían.. Al final lo eché todo para atrás ya que no funcionó... Y estoy desesperado.
                        Decir que cada cambio tengo que llamar al ISP para que lo hagan ya que el router de ISP se encargan ellos.

                        Tengo un lío en la cabeza que no se por donde tirar 😥

                        No consigo que funciona VPN/Wan...

                        A ver si me podéis echar una mano. Si no entendéis algo decídmelo e intento explicarlo mejor.

                        Gracias.

                        1 Reply Last reply Reply Quote 0
                        • BrujoNicB
                          BrujoNic
                          last edited by

                          El mayor problema que tenes ahí, es tu ISP que lleva el control TOTAL de tu red y debes pedirle permiso para todo. Debes configurar tu servidor de VPN en el pfSense similar a como estaba antes. No sé si era el equipo capa 3 o que. Debes ser claro si la conexión VPN es Site to Site o Cliente VPN a servidor VPN.

                          Para todo eso, necesitas abrir puertos y si el ISP te bloquea o atiende cuando le da la gana, pues estas fregado por ese lado. A fuerza, la IP que te suministra debe ser publica y fija.

                          Sería mejor que colocaras un esquema de tu red y la forma en que tenes configurada la misma.

                          Nunca respondo enojado, soy directo por lo que no se debe malinterpretar.
                          Estoy dispuesto a ayudar cuando puedo.

                          1 Reply Last reply Reply Quote 0
                          • S
                            sonerzin
                            last edited by sonerzin

                            organigrama
                            Tenía una guardada en el móvil, y la he modificado con un editor para que sea más real.

                            LA IP pública es fija en todas las sedes. Cada sede es una ciudad diferente con un pfsense que los tengo conectados con OpenVPN.

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.