4. Multi-WAN con Multi-Lan

Multi-WAN con Multi-Lan

  • Z

    Hola a todos, vereis tengo un problemilla que no tengo muy claro como resolver… aunque se que se tratará de reglas del firewall casi seguro.

    Vereis, dispongo de 3 wan configuradas en el pfsense, y 3 lan, concretamente lo q me interesa es q la LAN1, solo salga por la WAN1, y la LAN 2 y 3, por la WAN2 (la WAN3 se usará para otros casos que no tiene que ver con esto)... mi duda es como hago esto? he añadido una regla para que lan1 salga por "default" (q es wan1) y otras 2 rechazando el tráfico de wan2 y 3 para que esta red no lo alcance.

    Sin embargo al añadir una regla para LAN2 pase pro WAN2, no funciona..a. como debería crear estas reglas exactamente? gracias por adelantado y un saludo.

    PD: la version del pfsense es 2.2.1, y no me interesa hacer balanceo de carga

    0
  • F

    2.2.1 es una version ALPHA, no diras 1.2.1?

    Es muy facil en las reglas de rules eliges el gateway de los diferentes wan. el default es para WAN y los que pone la IP es para los otros WANn que tengas configurados

    0
  • Z

    si, lo siento, me refería a la 1.2.2, q se me fué el dedo ;).

    No te entiendo muy bien a lo que te refieres, a ver, yo he intentado poner una regla por wan, por ejemplo, en Rules, LAN2, añadí una regla, como source LAN2 net, destino * y gateway WAN2, y pierdo el poder hacer un ping a la red 192.168.1.*… como soluciono esto? no obstante he comprobado si funciona, y "cualesmiip" me sigue dando la misma IP de salida :S

    0
  • F

    Tienes razon. Tienes que tener otra una rule para conectar a internet y otra para conectar entre las distintas redes internas de pfsense tal como:
    todos los puertos de lan2subnet a lansubnet todos los puertos gateway default (aqui el gateway no importa)
    LAN2 si has puesto en rule todos los puertos de  lan2 subnet a qualquier ip  todos puertos por gateway (el de wan2) tiene que echar paquetes por esa WAN2 y www.myip.es te tendria que dar la ip de wan2…

    0
  • Z

    mañana a primera hora pruebo y os cuento que tal fue, gracias!

    0
  • Z

    Nada, no me ha funcionado :(… he perdido hasta el ping a 192.168.2.1

    Ahora mismo tengo solamente 2 reglas en LAN2, una de lan2 a lan1 subnet, y otra de lan2 subnet a any, por el wan2, y ni ping a ninguna IP de fuera ni a IP de LAN1, ni al pfsense, pero si a equipos de LAN2 :S

    0
  • V

    ponles direcciones IP fijas a las WANs y despues en las reglas pones la puerta de enlace conforme a la lan.

    0
  • Z

    Es así como lo tengo, TODO con IP fija, nada de DHCP, gracias por vuestra ayuda… la verdad es q esto me tiene un poco descolocado.

    0

  • ¡Hola!

    En LAN tienes una regla Default que nada más empezar te permitirá ir a Internet por WAN (puerta default.

    Crea una regla igual en cada una de tus LAN y donde pone Gateway ponle la WAN que te interese, para forzar la salida del tráfico.

    Ninguna regla en las WAN. Este es un error común. En la mayoría de casos no son necesarias.

    Ahí te paras y pruebas que se salga a Internet desde cada una de tus LAN y por la puerta que deseas. Comprobado esto guardas la configuración y sigues. Paso a paso …

    Si quieres ir de LAN a LAN2 pon, por delante de la regla Default de LAN una regla que permita como destino tu LAN2 y deja la puerta en default. Comprueba el resultado.

    Si quieres que de LAN2 se pueda ir a LAN haces lo mismo en LAN2 … Comprueba el resultado.

    www.bellera.cat/josep/pfsense/indice.html trata la situación multiLAN y multiWAN sin balanceo.

    Saludos,

    Josep Pujadas

    0
  • Z

    Poniendo esta regla unicamente en LAN2, pierdo el ping a 192.168.2.1 y no tengo salida a un ping por ejemplo a google.

    Gracias por vuestra ayuda


    0
  • F

    en el screenshot dice que tu ruter esta en 20.1 y dices que no tienes ping a 2.1…?
    a veces los ping no son bien gestionados por pfsense por que no son propiamente paquetes, lo que tendrias que es mirar si las web te funcionan..
    En mi pfsense los pings solo funcionan bien desde wan pero no de wan1 o wan2, pero conectar conecta...
    Entro a servicos  varios desde internet hacia un ordenador por nat en wan1 y wan2 :)
    Fijate como dice bellera que en los rules de adsl1 y adsl2  deben estar limpios o solo contener lo que hayas puesto por NAT

    0
  • Z

    Efectivamente las reglas están limpias, y con esa ruta no alcanzo un ping ni a 192.168.2.1 (q es pfsense de LAN2), y no obstante e intentado tb entrar a alguna web directamente y tampoco :(

    0
  • F

    Has comprobado que efectivamente con un ordenador en la red wan2 puedes ver internet verdad?

    0
  • Z

    algo extraño pasa, porq con esa regla q especifico más arriba, no puedo salir a internet en LAN2, ni hacer ping a 192.168.2.1, pero SI a equipos de la red 192.168.2.XXX, no obstante, si edito WAN1, y le pongo los datos de WAN2, efectivamente, puedo salir a internet (con los datos del ADSL2), osea q doy por exo que no tiene que ver con la conexion router ADSL/pfsense.

    Os resumo como lo tenog montado en lo q hardware se refiere, una máquina, con 4 tarjetas de red… 1 para las WAN, con VLAN montadas para WAN2 y 3, y tres tarjetas de red, conectadas a un SW, que son LAN1, 2 y 3 (estas son tarjetas y no VLAN por mejorar el tráfico en la red (se trata d eun SW con enlates de 1000mbps, con enlaces de fibra y demás.

    0
  • F

    El pfsense hace cosas raras con los ping no los uses
    yo desde mi red no puedo hacer ping a la ip que tiene en lan2 pero si que le puedo hacer ping a la ip de lan.
    Las vlan me han dado problemas tambien :(
    Comprueva la documentacion
    mismos nombres, mismos canales…

    Suerte!

    0
  • Z

    pero igualmente, es lo q te comento, aunq no hace ping, tampoco tiene salida a internet por LAN2 si selecciono el gateway de ADSL2, sin embargo, lo dejo por defecto, apra q piye el ADSL1, y sin problemas

    0
  • V

    Aclaremos algo:
    tu WAN esta conectada directamente a un switch y esta configurada como VLAN cierto?
    suponiendo que la respuesta es si, tu WAN1 y WAN2 estan tambien conectadas a el switch y estan configuradas como VLAN tambien, ejemplo:

    WAN - VLAN10
    WAN1 - VLAN20
    WAN2 - VLAN30

    alguna de tus WANs tiene salida al exterior?  esto es sin tener puesta alguna regla en la LAN1 o LAN2.
    checaste que esten en la misma subred que tus modems/enlaces dedicados?
    ejemplo:

    WAN - VLAN10 - 192.169.1.1/24
    WAN1 - VLAN20 - 192.168.2.1/30
    WAN2 - VALN30 - 192.168.3.1/33

    si todo esta correcto, tienes que crear las reglas en cada LAN de esta forma:

    LAN
    Proto  Source  Port  Destination  Port    Gateway    Schedule  Description
    *          LAN Subnet      *          *                  *    192.168.1.1

    LAN1
    Proto  Source  Port  Destination  Port    Gateway    Schedule  Description
    *          LAN1 Subnet      *          *                  *    192.168.2.1

    LAN2
    Proto  Source  Port  Destination  Port    Gateway    Schedule  Description
    *          LAN2 Subnet      *          *                  *    192.168.3.1

    y algo que se me habia pasado es que tienes que configurar el archivo de configuracion manualmente para que puedas agregarle los DNSes de cada WAN que tienes porque si no no te resuelve(obvio, no? :)) excepto el de la WAN, recuerda hacer un respaldo antes de modificar ese archivo.

    No es tan dificil lo que quieres hacer, si con nada de lo que se te recomienda funciona, pues trata de rectificar la configuracion basica/avanzada de pfSense varias veces porque algo estas haciendo mal desde ahi.

    Saludos.

    0
  • Z

    en q fichero se hace lo de las DNSs?

    a ver te resumo un poquillo el montag, adsl's le entran por SW, a una tarjeta, esta con dos vlan, osea

    física–> wan1 --> 192.168.10.2 --> router adsl 192.168.10.1 (con DMZ a 10.2)
    vlan1--> wan2 --> 192.168.20.2 --> router adsl 192.168.10.1 (con DMZ a 20.2)
    vlan2--> wan3 --> 192.168.30.2 --> router adsl 192.168.10.1 (con DMZ a 30.2)

    fisicaLAN --> lan1 --> 192.168.1.1
    fisicaLAN --> lan2 --> 192.168.2.1      Estas a un SW a parte.
    fisicaLAN --> lan3 --> 192.168.3.1

    El DNS q tenog puesto en la máquina es uno propio de fiar (un server ajeno a todo esto) pero en las opciones web, no en ningun fichero.

    Bien, ahora las reglas, tengo la q especifico arriba, lan2 subnet con GW a WAN2, y esa red, ni tiene salida a internet, ni ping a 192.168.2.1, pero si a maquinas de la red, por ejemplo 192.168.2.14.

    Otra regla en LAN1, con GW por defecto, y otra más en LAN3, con GW por defecto tb, y estas dos redes, tienen ping a CUALQUIER maquina de cualquier red, y salida a internet sin problemas.

    Y estando así, como indico el problema es que no tengo salida en LAN2 por WAN2 :(... alguna idea más que aportar?

    0
  • V

    no entendi muy bien, tendras tu configuracion de esta manera?
    ejemplo:
    conectas el cable ethernet de la WAN al puerto del switch 10, despues conectas el cable ethernet de la WAN1 al puerto del switch 11, despues conectas el cable ethernet de la WAN2 al puerto del switch 12, creas la VLAN1 y VLAN2 en el switch las asignas a los puertos 11 y 12 taggeas o trunkeas a el puerto 1 con las VLANs y solo conectas el cable ethernet del pfsense al puerto 1 del switch?

    si es asi esta mal…necesitas tener tres VLANs que no sea la VLAN1 que es la que usa el switch para su configuracion interna, te recomiendo que uses las VLANs de esta manera:

    VLAN10 - WAN - puerto 10, trunking o tagging al puerto 1
    VLAN20 - WAN1 - puerto 11, trunking o tagging al puerto 1
    VLAN30 - WAN2 - puerto 12, trunking o tagging al puerto 1

    conectas el cable ethernet del puerto 1 del switch a la interface WAN de pfsense, creas las VLANs, reinicias, asignas las interfaces y creas las reglas, asi de sencillo.

    0
  • Z

    oks probaré mñn y te comento a ver que tal ha ido ;)

    no obstante el tema d las vlan y demás es porq en si luego esa boca irá a un conversor de medios para pasarlo a fibra, pues estará en otra planta y los adsl están en el subsuelo.

    0
  • V

    si tienes la situacion de la fibra usa mejor una interface dedicada a ello y una de las VLANs que configures la destinas a esa LAN.

    se me paso, para editar la configuracion del pfsense lo haces desde el menu diagnostics>backup/restore descargas el archivo haces una copia localmente despues lo editas con Wordpad o con cualquier editor de textos.

    0
  • Z

    nada, lo mismo, algo se me escapa o no lo logro entender… puede deberse a q adsl2, lo tengo configurado como 192.168.20.1 y la red LAN2, 192.168.2.1?

    no debería ser este el problema :S, puesto que en ADSL1, tengo 192.168.10.1 y LAN1 192.168.1.1, y funciona correctamente.

    0
  • V

    ya verificaste que las IPs y subredes sean distintas de cada interface?
    ya modificaste el archivo con los DNS de cada acceso a internet, como te lo habia comentado?

    trata de poner unas pantallas de la configuracion de las VLANs, reglas, configuracion de las interfaces y de la configuracion basica.

    0

  • ¡Hola!

    No termino de entender qué es esto:

    física–> wan1 --> 192.168.10.2 --> router adsl 192.168.10.1 (con DMZ a 10.2)
    vlan1--> wan2 --> 192.168.20.2 --> router adsl 192.168.10.1 (con DMZ a 20.2)
    vlan2--> wan3 --> 192.168.30.2 --> router adsl 192.168.10.1 (con DMZ a 30.2)[/quote

    3 WAN en rangos distintos (correcto) pero ¿un sólo router ADSL y en el primer rango?

    Hay una casilla que dice "Block Private Networks" en las interfases ... Igual es esto ... aunque sigo sin entender el escenario.

    Saludos,

    Josep Pujadas

    0
  • V

    Tienes totalmente la razon Josep, la casilla de Block private networks en la WAN debe de estar desmarcada.

    A mi tambien no me suena eso del WAN, le hice la recomendacion de que las tres WANs fueran VLANs, porque si no la confusion que se da en pfSense es grande!

    Saludos.

    0
  • Z

    ouch… lo siento me equivoq un poco en lo q os puse mas arriba

    física--> wan1 --> 192.168.10.2 --> router adsl 192.168.10.1 (con DMZ a 10.2)
    vlan1--> wan2 --> 192.168.20.2 --> router adsl 192.168.20.1 (con DMZ a 20.2)
    vlan2--> wan3 --> 192.168.30.2 --> router adsl 192.168.30.1 (con DMZ a 30.2)

    a ver a lo q me refiero con los router, es q esa IP q indico *.1 es la del modem/router adsl, al cual le añado reglas para tener DMZ en las ip *.2, q es la q tiene de entrada cada WAN del PFSENSE... lo entendeis mejor ahora? o lo explico mejor con un "cutre-esquema"?

    gracias por vuestra ayuda de verdad.

    0
  • V

    Mira yo entiendo muy bien como lo quieres hacer, sin embargo lo que no comprendo es como obtienes comunicacion entre tu WAN y tu pfsense sin usar una VLAN, tecnicamente no puedes si tienes el dhcp habilitado(no se si sea tu caso), por lo menos no he podido yo hacer que haya comunicacion.

    Saludos.

    0
  • Z

    no te entiendo del todo :S… como DHCP??? no tengo DHCP en ningun WAN, solo en las LAN, concretamente en LAN1. LAN2 y 3 son con IP estáticas

    0
  • V

    Me refiero a como es que puedes ponerle una IP estatica o obtener una IP dinamica sin uso de una VLAN en tu WAN y tener comunicacion con pfsense…
    ya desactivaste la casilla de block private networks dentro de la WAN?
    te pedi hace unos posts si podias poner algunas pantallas para poder ver si hay algo raro en tu configuracion.

    0

  • @zeroking:

    ouch… lo siento me equivoq un poco en lo q os puse mas arriba

    física--> wan1 --> 192.168.10.2 --> router adsl 192.168.10.1 (con DMZ a 10.2)
    vlan1--> wan2 --> 192.168.20.2 --> router adsl 192.168.20.1 (con DMZ a 20.2)
    vlan2--> wan3 --> 192.168.30.2 --> router adsl 192.168.30.1 (con DMZ a 30.2)

    a ver a lo q me refiero con los router, es q esa IP q indico *.1 es la del modem/router adsl, al cual le añado reglas para tener DMZ en las ip *.2, q es la q tiene de entrada cada WAN del PFSENSE... lo entendeis mejor ahora? o lo explico mejor con un "cutre-esquema"?

    gracias por vuestra ayuda de verdad.

    ¡Hola!

    Esto sí lo veo claro …

    Si no funciona o hay un problema de reglas o un problema con el soporte VLAN. No todas las placas son 100% VLAN compatibles.

    ¿Puedes indicar qué tipo de placa tienes en WAN?

    Usa dmesg o pciconf desde la consola para ver concretamente qué placa tienes y miramos si el soporte para VLAN es al 100%.

    Por otra parte no sé qué quieres hacer exactamente. Se me ocurre que igual no necesitas 3 IPs distintas en WAN y te valen 3 IPs en el router (en el mismo rango que WAN):

    Ejemplo:

    WAN –> 192.168.10.4
    router adsl 192.168.10.1
    router adsl 192.168.10.2
    router adsl 192.168.10.3

    También podrías probar la configuración de tu router desde un ordenador en lugar de emplear pfSense, a ver si todo lo que quieres es correcto. Igual tienes algo incorrecto en el router.

    Bueno, se trata de descartar cosas ...

    Saludos,

    Josep Pujadas

    0
  • V

    Por otra parte no sé qué quieres hacer exactamente. Se me ocurre que igual no necesitas 3 IPs distintas en WAN y te valen 3 IPs en el router (en el mismo rango que WAN):

    Ejemplo:

    WAN –> 192.168.10.4
    router adsl 192.168.10.1
    router adsl 192.168.10.2
    router adsl 192.168.10.3

    Si quieres hacer balanceo de carga necesitas tener diferentes puertas de enlace:

    WAN - 192.168.10.1
    WAN1 - 192.168.20.1
    WAN2 - 192.168.30.1

    0

  • ¡Hola!

    Ok, entiendo lo que dices. Si no tienes tres WAN con su respectiva puerta no puedes hacer lo que quieres …

    ¿Miraste qué tipo de placa de red tienes en WAN?

    Una solución sería poner en WAN un equipo pfSense con 4 NIC que te haga esto, si hay problemas al implementarlo con VLAN. Un Fabiactech FX5620 como el que tengo podría irte bien y no llega a los 300,00 €.

    Saludos,

    Josep Pujadas

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2019 Rubicon Communications, LLC | Privacy Policy