CISCO VPN + MULTIWAN + bridge WAN1 LAN - IMPOSIBLE??

ware

Buenas noches, agradezco vuestro tiempo y consejos.
Tengo un problema con esta configuración:
WAN - VDSL: IP ADDRESS: 192.168.AAA.200 - GATEWAY:192.168.AAA.1 - 30mb/2MB

WAN 1 - ROUTER CISCO CON VPN A MÚLTIPLES SUBREDES: IP ADDRESS: 192.168.BBB.200 - GATEWAY: 192.168.BBB.100 - 1MB SIMETRICO

LAN BRIDGE CON WAN1: IP 192.168.BBB.200

FIREWALL CON LAS SIGUIENTES REGLAS:

LAN:
ICMP         LAN net *                Subnets *                 192.168.BBB.100

TCP/UDP LAN net 3389 (MS RDP) Subnets 3389 (MS RDP) 192.168.BBB.100

TCP/UDP LAN net 5900 (VNC) Subnets 5900 (VNC) 192.168.BBB.100

• LAN net *             ! CISCOyVDSL       *          LOADBALANCE

• LAN net *                  VDSL       *                   *

• LAN net *                  Cisco       *         192.168.BBB.100

• LAN net *                       *       *                    *  
  Ahora mismo y para evitarme complicaciones en WAN y WAN1 todo abierto
  WAN:192.168.AAA.1

• *         *                       *       *                     *

WAN1:192.168.BBB.100

• *         *                       *       *                     *
  MULTIWAN todo online:
  LOADBALANCE gateway         wan          192.168.AAA.1            balancing
                          (balance)         opt1          192.168.BBB.100

WANFailWAN1       gateway         opt1          192.168.BBB.100         WAN1 -> WAN falla
                        (failover)         wan           192.168.AAA.1

WAN1FailWAN gateway         wan           192.168.AAA.1           WAN -> WAN1 falla
                        (failover)         opt1           192.168.BBB.100

Lo tengo asi porque estoy obligado a mantener el CISCO con VPN por la linea mas lenta y queria balancear el trafico que no fuera 3389 5900 y ICMP por la otra linea

Navego de maravilla.
Me responden las Subnets (192.168.CCC.0/24)/192.168.DDD.0/24)  al ping, a traves del CISCO pero no me conecta con el VNC,
ni puedo conectarme por rdp a todos los servidores, solo a algunos. Me deja a uno, a otro no, al cabo de un rato me deja al que no me dejaba y no me deja al que me dejaba…..
en fin me estoy volviendo loco.

Puede ser un tema de ancho de banda?
porque me responde al ping todo y no me deja conectarme?
alguna brillante idea de los "sabios del lugar"?
Por supuesto todo funciona si conecto todo asi:
CISCO - SWITCH - LAN
Gracias por vuestra colaboracion. Espero haberme explicado

bellera

¡Hola!

Las reglas

TCP/UDP    LAN net    3389 (MS RDP)  Subnets    3389 (MS RDP)    192.168.BBB.100           
TCP/UDP    LAN net    5900 (VNC)  Subnets    5900 (VNC)    192.168.BBB.100

me parecen "conceptualmente" erróneas.

Las aplicaciones abren, por regla general, un puerto dinámico en origen. Y van al puerto de destino correspondiente al servicio.
Además, RDP y VNC operan (pienso) sólo en modo TCP.
O sea que yo pondría:

TCP    LAN net    *  Subnets    3389 (MS RDP)    192.168.BBB.100           
TCP    LAN net    *  Subnets    5900 (VNC)    192.168.BBB.100

A ver si es esto…

Saludos,

Josep Pujadas

ware

Hola ! Gracias por tu tiempo y asesoramiento Josep

No es que no haya leido el consejo antes sino que llevo varios dias probando. Solo puedo a partir de las 20:00, estan trabajando y no puedo cortar para hacer pruebas.
He cambiado lo que apuntabas, desde luego no tenia claro el concepto, los stats lo reflejan asi. Un puerto aleatorio –> una conexion al 3389 por TCP.

El resultado aun asi es extraño, desde mi equipo conecto a todos los servidores de la subnet de maravilla tanto a rdp como por VNC, en mi equipo todo perfect!.
Desde cualquier otro equipo me conecta de maravilla a todos los servidores excepto a 3!! en concreto, y ahora siempre a los mismos...
He desmontado el load balance y me pasa lo mismo, modificando las rules de LAN (permitido todo)
O sea esta asi ahora mismo - ROUTER CISCO ---- PFSENSE BRIDGE --- SWITCH --- LAN
Lo que mas me mosquea es que en cuanto quito el pfsense conecta sin problema desde cualquier equipo a cualquier servidor.
Sigo probando.

Gracias por la ayuda

bellera

Desde cualquier otro equipo me conecta de maravilla a todos los servidores excepto a 3!! en concreto, y ahora siempre a los mismos…

¿No tendrán estos servidores un software de cortafuegos activo que esté filtrando las conexiones?

ware

No, Firewall de windows desactivado y no hay software de ningun tipo.
Lo extraño es lo que te comentaba, que sin el PF no hay ningun tipo de problema, se conectan simultaneamente unos 25 usuarios y la unica restriccion que tienen es la de tiempo de inactividad que los desconecta.

Gracias de nuevo

bellera

Que no dependa del MTU…

Ajuste del MTU de las placas de red
Necesario en algunos casos (por ejemplo, para correo Outlook con adjuntos)
http://forum.pfsense.org/index.php/topic,21812.msg113545.html#msg113545

ware

ehhhhhhhhhhh Impresionante!!!!!!!!!!!!!!!!!!!!!!!  ;D ;D ;D ;D
Perfecto todo
MTU máximo 1272
Genial
No sabes lo que te lo agradezco
Muchisimas gracias

ware

Ahora lo vuelvo a montar con Balance y ya me muero. jejeje
Gracias de nuevo por tu tiempo y apoyo. Bestial !!!
Un saludo

ware

Por cierto creo que todos los chips de esta empresa son realtek y no exagero….  :D