Pfsense Vlan em interface LAN



  • Fala galera blz, hoje parei pra fazer um teste em meu servidor de trabalho, fiz o teste da seguinte maneira.

    Meu servidor só possui 2 interface de redes ou seja 2 placas de redes, o meu pfsense esta com placa de redes wan e lan somente, ai no teste eu criei uma vlan dentro da interface lan que chamei ela de DMZ.

    wan ip: publico da operadora
    minha rede lan ip: 192...
    rede dmz: 172.17..

    depois disso fiz as configuração de regras http e https e dns, na dmz. porem uma maquina que setei ip 172.17.0.11 não pinga nem a rede dmz, e mesmo fazendo uma regra na wan com ip da maquina a maquina nao navega na internet !

    afinal é possivel fazer isso ?



  • @italoaves Fala Italo, você criou as regras de firewall da DMZ para fora?
    E as regras de NAT? Também foram criadas?



  • Olá amigo td bem ?

    Então cara eu fiz as regras na dmz http https e dns, e tbm fiz regra de nat 1 pra 1 e também usei ip virtual pra maquina setando a mesma pra um ip publico para ser acessada !



  • Opa, então você está tentando acessar da Internet o seu servidor na DMZ?
    Esse ping que você diz que não funciona, é o servidor na DMZ tentando pingar a interface do pfsense da DMZ?
    Essa interface da DMZ, é o gateway do servidor na DMZ?



  • @mcury segue a imagem

    https://ibb.co/t3V63sG
    https://ibb.co/R7bJKnh

    Estou tentando por essa rede dmz um webserver pra poder as pessoas terem acesso de fora !



  • @italoaves A regra de ICMP para a interface DMZ na imagem, está com zero hit count.
    Então o seu servidor 172.17.0.11, não pinga a interface da DMZ, certo?

    Me parece que você não criou a VLAN corretamente, primeiro você precisa que funcione a conexão do servidor com a interface do pfsense.



  • @mcury Então essa é aquestão eu criei essa vlan em cima da interface lan 192 dentro do pfsense, agora se funciona dessa forma que quero saber.. segue a imagem

    https://ibb.co/L0SP6Js



  • Você tem um switch gerencíavel ai no meio?
    Como você conectou isso ai?



  • @mcury kkkkkk' então cara eu não tenho switch na rede, a impressa ficou de fornece um switch pra por lá, por enquanto só tenho uma onu que converte a fibra vai pro servidor, e no caso estou utilizando vmware esxi pra simular os switchs !



  • @italoaves kkkkk, faz parte.. Infelizmente já tem anos que brinquei com vmware para emular rede, na época que eu estudava pelo GNS3.

    Antes de tudo, eu evitaria usar a VLAN nativa, ou a VLAN1, por questões de segurança.
    Como você está usando a VLAN1 já na sua configuração pelas imagens que vi, vou explicar como seria no seu cenário atual.
    Obs: o switch que você for receber, precisa aceitar configurações de VLANs.

    A sua porta LAN do pfsense está recebendo pacotes com TAG de VLAN, no caso VLAN10 ou DMZ.
    A sua interface LAN do pfsense também estará recebendo pacotes UNTAGGED, que corresponde a rede LAN.

    No pfsense, essa porta LAN deveria se conectar a um switch gerencíavel.
    Nesse switch, você deverá configurar a porta que se conecta ao pfsense como um TRUNK, que aceite a VLAN10 (TAGGED), e a VLAN1 (que na sua configuração atual, seria UNTAGGED).

    Depois no Switch, você atribui portas de ACCESSO, atribuí a elas a VLAN10, onde você conectará seu servidor da DMZ.
    Essas portas de ACESSO estarão recebendo pacotes UNTAGGED.

    Porta de ACESSO é onde você conecta os clientes.

    Dessa forma, quem for VLAN10 você conecta nas portas de ACESSO da VLAN10.
    Quem for VLAN1, no caso a sua rede LAN, você conecta nas portas de acesso VLAN1.



  • @mcury Obrigado pelo informação, na empresa eu tenho switch gerenciavel aqueles extreme networks será q é compativel
    ?



  • @mcury Outra duvida pra eu fazer essas conexões srv vs switch eu preciso de quantas interface de rede ?



  • @italoaves Eu nunca ouvi falar desse switch, pelo que pesquisei em 2 minutos no site deles, é compatível sim, não sei se todos os modelos o são, de repente tenha modelos mais simples que não sejam, tem que ver o modelo pra te confirmar melhor.
    O protocolo para VLAN é o 802.1q.

    Se você usar duas placas de rede na mesma VM, você vai precisar se preocupar com rotas de retorno, para que um pacote não seja devolvido pela placa errada, ou rota default.

    Caso você use exclusivamente uma placa de rede para cada VM, não vai precisar se preocupar com rota de retorno, já que ele vai enviar e receber pela mesma.

    Em relação a sua segunda pergunta, isso depende do tamanho da sua rede de servidores, e do tamanho da LAN, e também se vai pensar em expandir no futuro, tipo por mais VLANs ou mais servidores por exemplo.

    Um exercício básico, vamos supor que você tenha 3 VLANs, no caso, WIFI, DMZ e a LAN.

    O PFsense tendo uma interface física apenas, configurada com as 3 VLANs mencionadas acima.
    Um cabo seria conectado da interface do PFsense para o Switch.

    Você poderia configurar outras portas do Switch como portas de acesso, uma ou mais para cada VLAN.

    Edit:
    Em adição as informações acima, o cenário que foi explicado, seria um cenário simples, com um switch apenas, com o roteamento sendo feito através do "router on a stick", que nesse caso seria o seu pfsense roteando entre as vlans.

    Existem cenários bem mais complicados, com switches layer 3, switches de distribuição..

    Como eu não tenho ideia do tamanho da sua infra, da quantidade de fluxo de dados, recomendo que você se aperfeiçoe um pouco mais antes de comprar alguma coisa..


Log in to reply