Problema Con VLAN + NAT + MultiWan



  • Estimados, tenemos un problema, para realizar las VLAN con NAT (tenemos el escenario que se presenta en la imagen de abajo).

    Uploaded with ImageShack.us

    Actualmente tenemos un FreeBSD 6.2 que cumple la función de nateo entre la RED 2 con la RED 1, hemos decidido migrarlo a un pFSense 1.2.3, debido a que queremos realizar multiwan para la la RED 2. Hasta el momento hemos realizado lo siguiente:

    • Crear las VLAN en pfSense
    • Asociar todas las VLAN (5) a la Interfaz LAN (ya que cada VLAN necesitamos que tenga su propia puerta de enlace)
    • Crear las reglas de NAT (hemos creo realizado todas las combinaciones posible, de hecho ya las dejamos como any to any donde se pudiese, ya que en un momento pensamos que se podía deber a eso)
    • Desactivar el bloqueo a las redes privadas

    El multiwan todavía no lo intentamos implementar, puesto que todavía no hemos logrado replicar lo inicial con FreeBSD.

    Y hasta el momento no logramos tener conectividad desde la RED a ni una parte, tampoco a las puertas de enlace.

    ¿A que se puede deber?

    PD: Adjunto lo más importante de nuestro antiguo rc.conf (de FreeBSD)

    ifconfig_fxp0="10.10.XXX.YYY netmask 255.255.255.0"
    defaultrouter="10.10.XXX.254"
    cloned_interfaces="vlan10 vlan20 vlan30 vlan40 vlan50"
    ifconfig_vlan10="inet 192.168.10.1 netmask 255.255.255.0 vlan 10 vlandev em0"
    ifconfig_vlan20="inet 192.168.20.1 netmask 255.255.255.0 vlan 20 vlandev em0"
    ifconfig_vlan30="inet 192.168.30.1 netmask 255.255.255.0 vlan 30 vlandev em0"
    ifconfig_vlan40="inet 192.168.40.1 netmask 255.255.255.0 vlan 40 vlandev em0"
    ifconfig_vlan50="inet 192.168.50.1 netmask 255.255.255.0 vlan 50 vlandev em0"
    ifconfig_em0="up"
    gateway_enable="YES"
    natd_enable="YES"
    natd_interface="fxp0"

    Saludos y gracias por la ayuda



  • Una vez has definida una VLAN tienes que añadirla como una interfase más. A partir de ahí crear reglas…

    ¿Lo has hecho?



  • Gracias por la pronta respuesta, generamos reglas en las VLAN any to any, tampoco hay resultados, (no llegamos ni a la puerta de enlace).

    Gracias



    • Crear las reglas de NAT (hemos creo realizado todas las combinaciones posible, de hecho ya las dejamos como any to any donde se pudiese, ya que en un momento pensamos que se podía deber a eso)

    Sólo necesitas NAT Outbound en modo automático para salir. ¿Qué NAT habeis hecho? No me queda claro.

    Desactivar el bloqueo a las redes privadas

    Eso sólo tiene sentido en las interfases que sean WAN y si tienen detrás de éllas alguna estructura privada. Por ejemplo, un router ADSL al que se quiera llegar…

    Postea, a poder ser, imágenes de qué tienes configurado. Algo no cuadra. Si funciona con FreeBSD 6.2 tiene que ir con pfSense 1.2.3 (FreeBSD 7.2).



  • @bellera:

    • Crear las reglas de NAT (hemos creo realizado todas las combinaciones posible, de hecho ya las dejamos como any to any donde se pudiese, ya que en un momento pensamos que se podía deber a eso)

    Sólo necesitas NAT Outbound en modo automático para salir. ¿Qué NAT habeis hecho? No me queda claro.

    Ya que de manera automática no resultó, vimos unos post  en que lo realizaban de manera manual, en la que el campo source correspondía a cada subred asociada a cada vlan.

    Desactivar el bloqueo a las redes privadas

    Eso sólo tiene sentido en las interfases que sean WAN y si tienen detrás de éllas alguna estructura privada. Por ejemplo, un router ADSL al que se quiera llegar…

    Es necesario, ya que esto es parte de una LAN mucho mayor, por ende ips no válidas podrían acceder a ver nuestros servidores.

    Postea, a poder ser, imágenes de qué tienes configurado. Algo no cuadra. Si funciona con FreeBSD 6.2 tiene que ir con pfSense 1.2.3 (FreeBSD 7.2).

    Las subiré mañana.

    Muchas gracias



  • Disculpa la tardanza pero tuve que viajar de imprevisto. Adjunto las imágenes.







    Saludos



  • Fallos que veo:

    1. No limites las reglas por defecto a TCP/UDP. Para probar, admite cualquier protocolo (asterisco). Estás cortando ICMP (importante para diagnosis), ARP (puede que lo necesites, según que hagas), etc. Después ya acotarás.

    2. LAN (192.168.20.2/24) y VLAN20 (192.168.20.1/24) están en la misma subred. No pueden estar así. Estás con un enrutador, cada interfase una subred. A menos que alguna interfase haga bridge con otra.

    3. WAN no debe tener reglas. Por ahí no entra tráfico, sale. A no ser que tuvieras algo publicado en Internet.



  • Gracias por la respuesta, pero sigo con problemas, te comento entre líneas.

    @bellera:

    Fallos que veo:

    1. No limites las reglas por defecto a TCP/UDP. Para probar, admite cualquier protocolo (asterisco). Estás cortando ICMP (importante para diagnosis), ARP (puede que lo necesites, según que hagas), etc. Después ya acotarás.

    Lo cambié, gracias!

    2. LAN (192.168.20.2/24) y VLAN20 (192.168.20.1/24) están en la misma subred. No pueden estar así. Estás con un enrutador, cada interfase una subred. A menos que alguna interfase haga bridge con otra.

    ¿Es necesario que esa interfaz tenga ip para LAN, ya que sólo me interesa que esté arriba? te comento, la boca de la LAN va conectada a un puerto troncal en el que pasan las VLAN 10 20 30 40 50

    Eliminé la IP desde el xml y lo cargué, pero nada.

    3. WAN no debe tener reglas. Por ahí no entra tráfico, sale. A no ser que tuvieras algo publicado en Internet.

    En este casó si entra tráfico.

    Gracias por el tiempo,



  • Eliminé la IP desde el xml y lo cargué, pero nada.

    Debería tener una IP dentro de la red 10.10.AAA.BBB, según el esquema que pusiste el primer día.

    Ya entendí que recibe el tráfico de las VLAN.

    Yo no tocaría el xml a mano para esto.



  • @bellera:

    Eliminé la IP desde el xml y lo cargué, pero nada.

    Debería tener una IP dentro de la red 10.10.AAA.BBB, según el esquema que pusiste el primer día.

    Ya entendí que recibe el tráfico de las VLAN.

    Yo no tocaría el xml a mano para esto.

    Gracias, voy a realizar ese cambio y te comento como me va, me duda radica en que por la interfaz de LAN sólo pasan VLAN (Las mismas que están configuradas en el switch)

    Saludos y gracias



  • Estaba revisando el esquema y parece que se entendió mal. Intentaré explicarlo con palabras.

    El switch Central 3com recibe el enlace de la red 10.10.XXX.YYYY
    El switch Central 3com recibe tb. 2 troncales con las vlan 10-20 y (30 - 40 - 50) respectivamente
    El switch Central 3com en una de sus bocas se le indica que por ahí pasará tráfico de las vlan 10-20-30-40-50 (a esta boca se le conetará el pfsense en su boca LAN)

    El switch Central 3com está conectado con los switch 3com de arriba por cascada

    El pfsense en su boca wan se le asigna una ip de la red 10.10.XX.YY la cual natea las vlan 10 20 30 40 50

    Adjunto un esquema más claro que el anterior.

    Gracias



  • Esto debería funcionar sin problemas, siempre que cada "red" pertenezca a una subred distinta. En este sentido no me queda claro que LAN y WAN esté en subredes distintas.

    Cabe verificar también que las placas de red empleadas soporten bien VLAN:

    http://www.freebsd.org/cgi/man.cgi?query=vlan&apropos=0&sektion=4&manpath=FreeBSD+7.2-RELEASE&format=html



  • Gracias por la respuesta. Pero como decia, la interfaz LAN recibe las VLAN 10 20 30 40 50 las cuales están configuradas tanto en el switch como en el pfSense.
    La WAN tiene configurada una ip de la red 10.10.XX.YY

    Consulta, por que debiese tener una ip válida la interfaz de la LAN si sólo me interesa que este arriba para que pase sólo el tráfico de esas vlan

    De todas formas le puse una ip de la red 10.10. XX. YY  y sigue sin conectividad.

    La interfaz si soporta VLAN, puesto que la interfaz LAN a modo de prueba le puse una ip de la red 192.168.20.XX correspondiente a la vlan 20, la puse en modo brigde con la lan y tuve conectividad, de esa y las demás vlan.

    Ahora el problema surge si reinicio, pierdo la conectividad, y sólo vuelve si deshabilito el modo brigde. Ahora lo extraño es que reinicio nuevamente el server, no tiene conectividad a menos que lo vuelva a habilitar y así sucesivamente.

    Saludos



  • Consulta, por que debiese tener una ip válida la interfaz de la LAN si sólo me interesa que este arriba para que pase sólo el tráfico de esas vlan

    Es como está pensado pfSense. Cada interfase tiene que estar en un rango distinto (modo router) o bien haciendo bridge con otra.

    De todas formas le puse una ip de la red 10.10. XX. YY  y sigue sin conectividad.

    Entonces haz bridge de WAN con LAN. De esta manera la tienes, pero sin IP. No puedes tener a LAN y WAN (como router) en la misma subred a menos que estén en modo bridge (lo contrario de router).

    La interfaz si soporta VLAN

    Ok.

    la interfaz LAN a modo de prueba le puse una ip de la red 192.168.20.XX correspondiente a la vlan 20, la puse en modo brigde con la lan y tuve conectividad, de esa y las demás vlan.

    Normal. Es lo que te decía. LAN tiene que estar en una subred distinta o en modo bridge con una de las interfases existentes.



  • Gracias por la ayuda!, logramos solucionarlo con tu ayuda, la única diferencia es que la la interfaz LAN sólo la levantamos, ya que por ella sólo pasarían VLANs.

    Ahora vamos por la multiwan y load balancing.

    Saludos


Locked