REGLAS VLANS



  • Hola josep, he tengo 3 vlans (192.168.0.0/24 - 192.168.1.0/24 -192.168.2.0/24)
    con sus correspondiente gw (192.168.0.1 - 192.168.1.1 - 192.168.2.1) en un pfsense - conectadas x un troncal vlan.

    (VLAN 1)  (VLAN2)  (VLAN3)

    SWITCH (802.1Q)
                      |
                      |
                  PFSENSE

    La duda pasa porque al agreguar un equipo (192.168.0.50) a la primer vlan , este ademas de poder comunicarse con su gw (192.168.0.1) tambien puede comunicarse con los gw de las otras 2 vlans (192.168.1.1 - 192.168.2.1) cuando las reglas de estas 2 vlans estan deny all en el pfsense.
    Mas alla de que creo que puedo evitar esto con una regla en la primer vlan que me bloquee lo que va a las otras 2, no entiendo porque se permite este trafico entre 2 equipos pertenecientes a vlans diferentes por mas que uno de ellos sea el pfsense.

    Espero haber sido claro, gracias



  • ¿Qué quiere decir exactamente?

    tambien puede comunicarse con los gw de las otras 2 vlans (192.168.1.1 - 192.168.2.1)

    ¿Qué puedes llegar a la administración de pfSense desde las tres VLANs? ¿Qué puedes hacer ping?

    O más grave, que ¿puedes ir de un equipo en una VLAN a un equipo en otra?

    ¿Has verificado bien que tengas el tagging correcto? En el libro de pfSense recomiendan no emplear el tag 1 ya que suele ser el por defecto en la mayoría de switches.



  • Exactamente eso, puedo ir a la administracion del pfsense desde un puesto usando las ips de las 3 vlans del pfsense, no puedo llegar de un puesto de una vlan a otra pero si desde el puesto 192.168.0.50 entrar a la administracion del pfsense usando 192.168.1.1 o 192.168.2.1, en lugar de solo poder con la 192.168.0.1, las reglas estan deny excepto en la vlan 192.168.0.0/24
    Los tag que uso son a partir del 2 en adelante porque sabia que el 1 era reservado y la version de pfsense es la 1.2.3



  • 1. Elimina las reglas de bloqueo. Sobran, en principio. Según el resto de reglas, claro.
    2. Pon una regla en LAN

    TCP  pfadmin  *  LAN address  administra  *
    

    siendo pfadmin un alias con las IPs de los equipos desde los que deseas administrar tu pfSense y administra un alias con los puertos 80, 443 y 22 (los que uses para administrar pfSense).
    3. Habilita la casilla [System] [Advanced] [webGUI anti-lockout - Disable webGUI anti-lockout rule]

    By default, access to the webGUI on the LAN interface is always permitted, regardless of the user-defined filter rule set. Enable this feature to control webGUI access (make sure to have a filter rule in place that allows you in, or you will lock yourself out!).
    Hint: the "set LAN IP address" option in the console menu resets this setting as well.

    El Hint es por si uno se equivoca poder recuperar el control.



  • Excelente Josep, probare lo que dijiste, suena a que era el "webGUI anti-lockout rule" todo el rollo que me hice.
    Muchas gracias maestro!



  • Y era nomas, mil gracias!!!!!!


Log in to reply