Dudas sobre policy routing.



  • Hola! Mi nombre es Ezequiel.
    Soy nuevo en el mundo de pfSense y queria comunicarles mi problema.
    Tengo un box con pf 1.2.3 el cual tiene 4 interfaces de red: la LAN, la WAN con PPPoE, otra con DHCP con una conexion de Fibertel y otra con una IP Estática de Speedy.
    La cuestión es la siguiente: Yo necesito que un cliente salga exclusivamente por la ip estática de Speedy.
    Actualmente tengo un pool del load balancer con la conexion pppoe y la de cable. La ip estática esta en un pool aparte, ya que solo la uso para acceder a un servidor determinado.
    Estuve probando con algunas reglas del firewall pero no lo he logrado.
    Lo vuelvo a explicar de manera mas sencilla:
    LAN: 10.240.20.0/24
    WAN: PPPoE
    OPT1: DHCP (Fibertel)
    OPT2: Static IP (Speedy)

    Necesito que la IP 10.240.20.6 use SOLANMENTE OPT2 como gateway.

    Espero ser claro. Gracias.



  • ¡Hola!

    Una regla en LAN por delante de las otras que sea:

    • 10.240.20.6  *  *  *  192.168.2.1

    suponiendo que 192.168.2.1 es la segunda gateway que te aparece en la lista de gateways al crear una regla.

    Saludos,

    Josep Pujadas



  • Gracias por la respuesta ballera!

    Creé la regla en el Firewall:

    Pero sigo sin tener éxito.
    El alias SUCERP apunta a esas 2 direcciones IP. La 77 es mi máquina, que agregué para poder probar mas rápido.
    Gracias.

    EDIT: Ya tenía creada la regal antes, pero habia puestó el ip 10.240.20.6 en Source, en vez de en Destination.



  • Perdona, rectifiqué mi post anterior…

    Es en Source donde tienes que poner el equipo (o alias) de origen que quieres hacer salir por la segunda gateway.

    Destination es hacia donde vas, en esta regla se refiere a cualquier dirección en Internet, saliendo por Gateway. Tiene que quedar con un asterisco.



  • Sigue sin funcionar :(
    En realidad lo ideal sería que solamente un URL salga por ese gateway, no tiene que ser necesariamente ese número de IP. Pero no se si se puede hacer eso.

    El caso sería asi:
    Toda la red tiene internet por medo del pool "Internet", el cual está compuesto por WAN y OPT1(Fibertel).
    Pero yo necesito acceder a una URL determinada "https://*******.com.ar:2481/ la cual sólo permite el acceso por medio del IP Fijo que contratamos a Speedy, la cual está configurada en la interfaz OPT2(SpeedyIPFijo). El problema es que no quiero sacar una máquina de la subred para eso, ya que aca se utilizan otros sistemas y comparticion de archivos etc.
    Voy a seguir probando. Gracias.



  • ¿Y 200.70.24.129 es la IP pública de tu conexión?

    ¿Cómo tienes los NAT Outbound? ¿En automático o en manual?



  • 200.70.24.129 es el GW de mi conexión. En NAT tengo manual:

    Le cambie el 10.240.20.0/24 por 10.240.20.6/32, porq me estaba balanceando también con esa conexion, y no quiero. Pero no funca xD



  • El NAT saliente es correcto.

    Si la IP de origen te va por balanceo no tienes bien las reglas en la LAN.

    ¿Puedes postear las reglas de LAN?

    Supongo que en SpeedyIPFijo no hay reglas…



  • Resumo la config del firewall:

    Alias:
    SUCERP 10.240.20.6, 10.240.20.77

    NAT Outbound:
    WAN  10.240.20.0/24 * * * * * NO
    Fibertel  10.240.20.0/24 * * * * *      NO
    Speedy      10.240.20.0/24    *      *      *      *      *      NO

    Reglas Firewall LAN:

    Reglas Firewall WAN:
    TCP * * * 80 (HTTP) *

    Reglas Firewall Fibertel:
    TCP * * * 80 (HTTP) *

    Reglas Firewall SpeedyIPFijo:
    TCP * * * 80 (HTTP) *

    Load Balancer:

    1 pool con wan y fibertel
    2 pools para failover 1to2 2to1
    1 pool solo con SpeedyIPFijo (probé con y sin el pool este)

    Espero que sirva, gracias.



  • ¡Hola de nuevo!

    Si SUCERP son tus máquinas locales a controlar tienen que estar en Source (ya te lo dije, quizás de forma no tan clara). En Destination tiene que haber ***** (cualquier dirección).

    Las reglas en WAN, Fibertel y Speedy no tienen que estar. Las reglas en una WAN sólo suelen tener sentido si estás dando servicio en Internet, mediante NAT Port Forward.

    Saludos,

    Josep Pujadas



  • Funciono!!! Mil Gracias!!!!
    Estaba haciendo 2 cosas mal. Aparte de poner SUCERP en destination en ves de en Source, estaba checkeando el IP siempre con un cliente de dns dinamico. jaja.
    Muchas gracias.-


Log in to reply