Problema comunicación + VLANs + subnets + pfsense
-
Buenas.
Tengo el siguiente problema con pfsense:
Tengo una red con tres switches y 7 VLANs.
El enrutamiento funciona perfectamente bien.
Voy a implementar pfsense, así que lo ubiqué en la vlan de 'servidores', el resto de las vlans tiene acceso a ésta, a la vlan de 'servidores'. Usé una de la ips públicas y se la asigne a la WAN, la LAN la conecté en uno de los puertos asignados a la vlan 'servidores', el segmento es 10.90.XX.XXX
Hasta ahí todo muy bien, pfsense tiene acceso a internet instalé algunos paquetes.
El problema radica en que sólo me puedo conectar a pfsense desde la vlan de 'servidores', o sea, usando ese segmento de red: 10.90.XX.XXX . Cuando intento acceder desde otro vlan, por ejemplo, 10.90.CC.CCC , no me puedo conectar, no hay respuesta, no hay ping.
Las otras vlans pueden acceder a la vlan 'servidores' sin ningún problema (acceden a los servidores que están en dicha vlan).
En síntesis no creo que el problema sea el enrutamiento, el cual permite la comunicación desde las demás VLANs.
No sé si pfsense toma los paquetes desde las otras VLANs, como si fuesen desde otra subnet (efectivamente lo es) y los bloquea.
¿Cómo puedo solucionar este problema?
¿Debo crear alias a cada una de esas subnets?
Muchas gracias,
S.
-
¡Hola!
Las VLAN funcionan como una interfase más y, por tanto, en modo router (lo normal) tienen que tener su respectivo rango y sus reglas para poder ir de equipos de una subred a equipos de otra.
En resumen, lo que hacen las VLAN son ahorrar bocas físicas (placas de red) en pfSense.
Saludos,
Josep Pujadas
-
¡Hola!
Las VLAN funcionan como una interfase más y, por tanto, en modo router (lo normal) tienen que tener su respectivo rango y sus reglas para poder ir de equipos de una subred a equipos de otra.
En resumen, lo que hacen las VLAN son ahorrar bocas físicas (placas de red) en pfSense.
Saludos,
Josep Pujadas
Josep, cómo estás.
Creo que no me explique bien.
Las VLANs no están implementadas en pfSense, las VLANs están configuradas
en el switche core.El enrutamiento ya está configurado y funcionando, hay comunicación entre las vlans: 'admin' 'stud'… y la vlan de 'servidores'
pfSense está ubicado en la vlan 'servidores', la cual tiene el siguiente segmento de red 10.90.XXX.XX . Ya configuré la WAN y a la LAN de pfSense le asigné 10.90.XXX.20/24 . Desde una máquina que tenga el mismo rango 10.90.XXX.XX, puede hacer ping a pfSense, entrar en la GUI... hay comunicación.
El problema radica cuando intento acceder desde la vlan 'admin' (o desde cualquier otra vlan), no hay comunicación, no hay ping, dicha vlan tiene el rango 10.90.CCC.CC .
Los switches están configurados para permitir esto: tengo un servidor Debian que corre MySql cuya ip es: 10.90.XXX.21 , a éste sí puedo acceder desde la vlan 'admin' (o desde el resto de las vlans).
Lo que quiero decir es que el enrutamiento está muy bien, desde cualquier vlan se puede acceder a la vlan 'servidores', pero no hay ping al servidor que tiene pfSense desde otra subnet.
Por eso pregunto, sí sólo tengo comunicación desde el mismo rango que tiene pfSense: 10.90.XXX.XX ¿Tengo que crear alias a las demás subnets?
¿Cómo permito en pfSense el tráfico desde esas vlans, desde esas subnets?
Muchas gracias,
S.
-
¡Hola!
No termino de entender el montaje pero…
Si el tráfico lo tienes marcado (tagging) en el switch, tendrás que definir las correspondientes VLAN en pfSense para que pueda ser visto.
Saludos,
Josep Pujadas
-
Josep, gracias por responder.
No podía llegar al pfSense, puesto que tenía que agregar el gateway del switche a la LAN.
Ya está solucionado.