Multi-WAN con Multi-Lan

zeroking

Hola a todos, vereis tengo un problemilla que no tengo muy claro como resolver… aunque se que se tratará de reglas del firewall casi seguro.

Vereis, dispongo de 3 wan configuradas en el pfsense, y 3 lan, concretamente lo q me interesa es q la LAN1, solo salga por la WAN1, y la LAN 2 y 3, por la WAN2 (la WAN3 se usará para otros casos que no tiene que ver con esto)... mi duda es como hago esto? he añadido una regla para que lan1 salga por "default" (q es wan1) y otras 2 rechazando el tráfico de wan2 y 3 para que esta red no lo alcance.

Sin embargo al añadir una regla para LAN2 pase pro WAN2, no funciona..a. como debería crear estas reglas exactamente? gracias por adelantado y un saludo.

PD: la version del pfsense es 2.2.1, y no me interesa hacer balanceo de carga

festuc

2.2.1 es una version ALPHA, no diras 1.2.1?

Es muy facil en las reglas de rules eliges el gateway de los diferentes wan. el default es para WAN y los que pone la IP es para los otros WANn que tengas configurados

zeroking

si, lo siento, me refería a la 1.2.2, q se me fué el dedo ;).

No te entiendo muy bien a lo que te refieres, a ver, yo he intentado poner una regla por wan, por ejemplo, en Rules, LAN2, añadí una regla, como source LAN2 net, destino * y gateway WAN2, y pierdo el poder hacer un ping a la red 192.168.1.*… como soluciono esto? no obstante he comprobado si funciona, y "cualesmiip" me sigue dando la misma IP de salida :S

festuc

Tienes razon. Tienes que tener otra una rule para conectar a internet y otra para conectar entre las distintas redes internas de pfsense tal como:
todos los puertos de lan2subnet a lansubnet todos los puertos gateway default (aqui el gateway no importa)
LAN2 si has puesto en rule todos los puertos de  lan2 subnet a qualquier ip  todos puertos por gateway (el de wan2) tiene que echar paquetes por esa WAN2 y www.myip.es te tendria que dar la ip de wan2…

zeroking

mañana a primera hora pruebo y os cuento que tal fue, gracias!

zeroking

Nada, no me ha funcionado :(… he perdido hasta el ping a 192.168.2.1

Ahora mismo tengo solamente 2 reglas en LAN2, una de lan2 a lan1 subnet, y otra de lan2 subnet a any, por el wan2, y ni ping a ninguna IP de fuera ni a IP de LAN1, ni al pfsense, pero si a equipos de LAN2 :S

vpadro

ponles direcciones IP fijas a las WANs y despues en las reglas pones la puerta de enlace conforme a la lan.

zeroking

Es así como lo tengo, TODO con IP fija, nada de DHCP, gracias por vuestra ayuda… la verdad es q esto me tiene un poco descolocado.

bellera

¡Hola!

En LAN tienes una regla Default que nada más empezar te permitirá ir a Internet por WAN (puerta default.

Crea una regla igual en cada una de tus LAN y donde pone Gateway ponle la WAN que te interese, para forzar la salida del tráfico.

Ninguna regla en las WAN. Este es un error común. En la mayoría de casos no son necesarias.

Ahí te paras y pruebas que se salga a Internet desde cada una de tus LAN y por la puerta que deseas. Comprobado esto guardas la configuración y sigues. Paso a paso …

Si quieres ir de LAN a LAN2 pon, por delante de la regla Default de LAN una regla que permita como destino tu LAN2 y deja la puerta en default. Comprueba el resultado.

Si quieres que de LAN2 se pueda ir a LAN haces lo mismo en LAN2 … Comprueba el resultado.

www.bellera.cat/josep/pfsense/indice.html trata la situación multiLAN y multiWAN sin balanceo.

Saludos,

Josep Pujadas

zeroking

Poniendo esta regla unicamente en LAN2, pierdo el ping a 192.168.2.1 y no tengo salida a un ping por ejemplo a google.

Gracias por vuestra ayuda

festuc

en el screenshot dice que tu ruter esta en 20.1 y dices que no tienes ping a 2.1…?
a veces los ping no son bien gestionados por pfsense por que no son propiamente paquetes, lo que tendrias que es mirar si las web te funcionan..
En mi pfsense los pings solo funcionan bien desde wan pero no de wan1 o wan2, pero conectar conecta...
Entro a servicos  varios desde internet hacia un ordenador por nat en wan1 y wan2 :)
Fijate como dice bellera que en los rules de adsl1 y adsl2  deben estar limpios o solo contener lo que hayas puesto por NAT

zeroking

Efectivamente las reglas están limpias, y con esa ruta no alcanzo un ping ni a 192.168.2.1 (q es pfsense de LAN2), y no obstante e intentado tb entrar a alguna web directamente y tampoco :(

festuc

Has comprobado que efectivamente con un ordenador en la red wan2 puedes ver internet verdad?

zeroking

algo extraño pasa, porq con esa regla q especifico más arriba, no puedo salir a internet en LAN2, ni hacer ping a 192.168.2.1, pero SI a equipos de la red 192.168.2.XXX, no obstante, si edito WAN1, y le pongo los datos de WAN2, efectivamente, puedo salir a internet (con los datos del ADSL2), osea q doy por exo que no tiene que ver con la conexion router ADSL/pfsense.

Os resumo como lo tenog montado en lo q hardware se refiere, una máquina, con 4 tarjetas de red… 1 para las WAN, con VLAN montadas para WAN2 y 3, y tres tarjetas de red, conectadas a un SW, que son LAN1, 2 y 3 (estas son tarjetas y no VLAN por mejorar el tráfico en la red (se trata d eun SW con enlates de 1000mbps, con enlaces de fibra y demás.

festuc

El pfsense hace cosas raras con los ping no los uses
yo desde mi red no puedo hacer ping a la ip que tiene en lan2 pero si que le puedo hacer ping a la ip de lan.
Las vlan me han dado problemas tambien :(
Comprueva la documentacion
mismos nombres, mismos canales…

Suerte!

zeroking

pero igualmente, es lo q te comento, aunq no hace ping, tampoco tiene salida a internet por LAN2 si selecciono el gateway de ADSL2, sin embargo, lo dejo por defecto, apra q piye el ADSL1, y sin problemas

vpadro

Aclaremos algo:
tu WAN esta conectada directamente a un switch y esta configurada como VLAN cierto?
suponiendo que la respuesta es si, tu WAN1 y WAN2 estan tambien conectadas a el switch y estan configuradas como VLAN tambien, ejemplo:

WAN - VLAN10
WAN1 - VLAN20
WAN2 - VLAN30

alguna de tus WANs tiene salida al exterior?  esto es sin tener puesta alguna regla en la LAN1 o LAN2.
checaste que esten en la misma subred que tus modems/enlaces dedicados?
ejemplo:

WAN - VLAN10 - 192.169.1.1/24
WAN1 - VLAN20 - 192.168.2.1/30
WAN2 - VALN30 - 192.168.3.1/33

si todo esta correcto, tienes que crear las reglas en cada LAN de esta forma:

LAN
Proto  Source  Port  Destination  Port    Gateway    Schedule  Description
*          LAN Subnet      *          *                  *    192.168.1.1

LAN1
Proto  Source  Port  Destination  Port    Gateway    Schedule  Description
*          LAN1 Subnet      *          *                  *    192.168.2.1

LAN2
Proto  Source  Port  Destination  Port    Gateway    Schedule  Description
*          LAN2 Subnet      *          *                  *    192.168.3.1

y algo que se me habia pasado es que tienes que configurar el archivo de configuracion manualmente para que puedas agregarle los DNSes de cada WAN que tienes porque si no no te resuelve(obvio, no? :)) excepto el de la WAN, recuerda hacer un respaldo antes de modificar ese archivo.

No es tan dificil lo que quieres hacer, si con nada de lo que se te recomienda funciona, pues trata de rectificar la configuracion basica/avanzada de pfSense varias veces porque algo estas haciendo mal desde ahi.

Saludos.

zeroking

en q fichero se hace lo de las DNSs?

a ver te resumo un poquillo el montag, adsl's le entran por SW, a una tarjeta, esta con dos vlan, osea

física–> wan1 --> 192.168.10.2 --> router adsl 192.168.10.1 (con DMZ a 10.2)
vlan1--> wan2 --> 192.168.20.2 --> router adsl 192.168.10.1 (con DMZ a 20.2)
vlan2--> wan3 --> 192.168.30.2 --> router adsl 192.168.10.1 (con DMZ a 30.2)

fisicaLAN --> lan1 --> 192.168.1.1
fisicaLAN --> lan2 --> 192.168.2.1      Estas a un SW a parte.
fisicaLAN --> lan3 --> 192.168.3.1

El DNS q tenog puesto en la máquina es uno propio de fiar (un server ajeno a todo esto) pero en las opciones web, no en ningun fichero.

Bien, ahora las reglas, tengo la q especifico arriba, lan2 subnet con GW a WAN2, y esa red, ni tiene salida a internet, ni ping a 192.168.2.1, pero si a maquinas de la red, por ejemplo 192.168.2.14.

Otra regla en LAN1, con GW por defecto, y otra más en LAN3, con GW por defecto tb, y estas dos redes, tienen ping a CUALQUIER maquina de cualquier red, y salida a internet sin problemas.

Y estando así, como indico el problema es que no tengo salida en LAN2 por WAN2 :(... alguna idea más que aportar?

vpadro

no entendi muy bien, tendras tu configuracion de esta manera?
ejemplo:
conectas el cable ethernet de la WAN al puerto del switch 10, despues conectas el cable ethernet de la WAN1 al puerto del switch 11, despues conectas el cable ethernet de la WAN2 al puerto del switch 12, creas la VLAN1 y VLAN2 en el switch las asignas a los puertos 11 y 12 taggeas o trunkeas a el puerto 1 con las VLANs y solo conectas el cable ethernet del pfsense al puerto 1 del switch?

si es asi esta mal…necesitas tener tres VLANs que no sea la VLAN1 que es la que usa el switch para su configuracion interna, te recomiendo que uses las VLANs de esta manera:

VLAN10 - WAN - puerto 10, trunking o tagging al puerto 1
VLAN20 - WAN1 - puerto 11, trunking o tagging al puerto 1
VLAN30 - WAN2 - puerto 12, trunking o tagging al puerto 1

conectas el cable ethernet del puerto 1 del switch a la interface WAN de pfsense, creas las VLANs, reinicias, asignas las interfaces y creas las reglas, asi de sencillo.

zeroking

oks probaré mñn y te comento a ver que tal ha ido ;)

no obstante el tema d las vlan y demás es porq en si luego esa boca irá a un conversor de medios para pasarlo a fibra, pues estará en otra planta y los adsl están en el subsuelo.