InterVlan Pfsense + Cisco L3



  • Hola Amigos,

    Necesito su colaboración para esta pequeña solución, tengo una 5 Vlan declaradas en mi pfsense: 10, 20 , 30 , 40, 50 la vlan 10 es de servidores donde tengo una par de servicios virtualizados corriendo, adicional a ello tengo 2 Switch L3 Cisco, para la distribución de los host, lo que no consigo es como hacer para que mi vlan 20. 30 .40 .50 puedan comunicarse con la vlan 10, todas las redes tienen internet excepto la de servidores, por favor seria de gran ayuda su aporte para poder tener la intervlan.

    Saludos Cordiales.



  • @davicleo Lo que se me ocurre (aunque no deberías) es que hagas el tag de vlan la config de la tarjeta de red de las maquinas virtuales (proxmox, vmware, etc).

    Pero si tienes 2 suiches capa 3. verifica bien la config alli. ya que el conecto de vlan aplica para las otras redes igual 20,30,40...

    a La ip del servidor fisico de la vlan 10 tampoco le llegas?



  • @j-sejo1 sabes tampoco llego ya que la intervlan no me funciona en el l3, lo que voy a probar es crear sólo las vlan en el L3 y rutear todo por pfsense



  • @davicleo En una red corporativa grande, el enrutamiento yo lo dejo en el capa3. Cisco 4500 para arriba jeje).

    Ahora para no complicar el asunto seria que el pfsense maneje el enrutamiento de cada vlan, por lo que el tomaría la ip .1 de cada segmento.

    Creo que el detalle lo tienes en el L3. estos Link quizas te den una ayuda.

    Cisco: https://docs.netgate.com/pfsense/en/latest/interfaces/vlan-trunking.html

    Cisco Avaya Dell: https://www.highlnk.com/2014/06/configuring-vlans-on-pfsense/



  • Hola @j-sejo1 , muchas gracias por la ayuda.

    Por ir compartiendo un poco más el esquema indico un pequeño diagrama y descripción,

    La solución comprende en:

    • 3 Switches Capa 3 (Cisco) Core --> Sw-01--> Sw-02

    • 2 Torres con Pfsense 4 eth cada uno mismas especificaciones, misma versión.

    • En el Core se conectan dos Isp cada uno con su Vlan, el Pfsense las recibe en la vlan 10, 20.

    ¿Como uso las bocas de cada Pfsense?

    Eth1 ----- Lan Carp --- VLan 41
    Eth 2 ----- Wan Carp --- Vlan 10 , 20
    Eth3 ------ DMZ -----
    Eth 4 ------ Sync ----- Vlan 81

    Actualmente todo esta configurado, y funcional, lo que @j-sejo1 me indicas es realizar las vlan desde capa 3, lo pense desde un inicio ya que son muchas Vlan´s,

    ( 8 Vlan equipos de usuario - 8 pisos ) Diferente Departamentos cada piso
    ( 1 Vlan para impresoras )
    ( 1 Vlan para Administración)
    ( 1 Vlan para visitas )
    ( 1 Vlan para equipos internos )
    ( 1 Vlan para servidores y servicios)
    (1 Vlan para VPN)

    Ya que administrar esto desde PFsense se me va complicar me tocaría dar acceso a cada vlan y me va tocara llevar un inventario de reglas muy extenso.

    Después de una consulta extensa en foros, vídeo, documentación, etc , etc he logrado tener Carp de LAN & Wan, ahora voy a implementar la Vlan en los capa 3 y pense en rutear ese trafico hacia una ip que comunica el capa 3 y Pfsense,

    No lo he podido

    OUTLOOK_umFJILu2p7.png

    Hago Ping desde el capa 3 a las ips de los pfsense y la virtual quien es la me salvara en caso caiga algun.

    ApplicationFrameHost_R964QsiieP.png

    Tengo Internet en el capa 3 y la ruta esta hacia la virtual.

    ApplicationFrameHost_rTTeTvkRZG.png

    Tengo la Ruta por defecto.

    7600dc2a-944b-496d-8079-50acc001bd0e-image.png

    Por no consigo que las vlan salgan al Internet .

    Por favor alguna ayuda para avanzar .

    Muchas Gracias.



  • @davicleo cuando dices: es realizar las vlan desde capa 3, lo pense desde un inicio ya que son muchas Vlan´s......

    Primero debes entender, que no es que el pfsense va hacer las vlan o el L3, No es asi. las VLAN (habilitar la configuración) siempre serán en el L3.

    Escenario1 Y el Pfsense (si va ser enrutador) simplemente tendrá una "pata" o interfaz en cada vlan que por lo general se toma la ip .1 de cada segmento. De esta forma, si un PC esta en la VLAN1 y quiere ir a la VLAN3. debe pasar por el pfsense.

    Escenario2 El otro caso (pero debes dominar bien las config del L3), es que el papel de enrutador lo hagas en el L3. en este caso, un PC para ir de la VLAN1 a la VLAN3, no pasa por el pfsense esa comunicación se queda en el L3. Pasas por el pfsense solo para ir a internet.

    Ambos escenarios requieren de configuración en el L3.

    Lo que deberías certificar es lo básico, en el escenario 1. Teniendo un PC en la vlan X, le haga ping a otro PC que este en otra vlan.

    Aqui las reglas en las vlan debes ponerla any any ******

    Si hace ping ya tendrias listo el tema L3. y lo mas seguro es que navegues tambien por la regla de firewall any any **** te estara dando dicho acceso tambien



  • Hola @j-sejo1

    Entiendo lo que pienso es independizar la administración es decir, Vlan que no son importantes como la de usuarios externos, celulares, piso de invitados etc, no tenerlas en el Pfs, en cambio las que son de importancia si administrarlas en el Pfsense como, DMZ, Ap, Camaras, en fin, cual es tu recomendación en este caso para dar internet, a las vlan enturadas desde el Layer 3,

    Te confirmo cuando creo una Vlan en Pfsense y configuro la regla de any* a any* puedo hacer ping entre host lo mismo con el L3 pero no consigo dar Internet a las que están configuradas en el Capa 3, he pensado en esta solución ya que quiero balancear la carga ya que adicional, tengo en monitoreo los equipos y quiero balancear la carga.

    Muchas Gracias.



  • Fin de la historia, solución!!!!! rutas de regreso en Pfsense.


Log in to reply