FW interno y FW externo

scumgen

Buenos días,

He comenzado mis andanzas con Pfsense recientemente y me he encontrado con varios problemas "curiosos" que me están dando bastantes quebraderos de cabeza, os paso a contar la arquitectura en esquema ASCII  ::):

• La red consta de una salida WAN y quiero que a nivel de arquitectura tenga dos pfsense, uno externo, en donde se conectara el interface LAN y otro interno, en donde tendrá varios subinterfaces con 3 vlans. Son dos maquinas, y las dos tienen 2 NICS, quedando del siguiente modo:

(Internet)
  |
  |
          (Interface WAN)
  |
  |
(FW1)
  |
  |
      (Interface LAN/ADMIN FW1)
  (IP:10.75.26.1)
  |
  |–--(Interface WAN)
  |
(FW2)
      (Interface LAN/ADMIN FW1)
  (IP:10.75.26.2)
    ---------------
  /      |     
    (VLAN1)    (VLAN2)    (VLAN3)
(10.75.27.1) (10.75.28.1) (10.75.29.1)

El problema es el siguiente, quiero conectar los dos FW (están físicamente cada uno conectados a un switch en una VLAN de administración con los puertos trunk) y que las redes creadas en el FW2 (VLAN1, 2 y 3) salgan por la WAN del FW1... pero surgen varios problemas:

¿que hago con el interface WAN del FW2?
¿Como enruto lan distintas VLAN?

Desde el FW2, he logrado hacer ping a las distintas redes (27.1, 28.1, 29.1) hacia el gateway (26.1 - FW1) y desde los dos FW he logrado hacer un ping a una IP publica (8.8.8.8), hasta ahí bien... pero a la hora de intentar hacer ping utilizando las redes internas (27.1, 28.1, 29.1) a internet, no funcionan (pero si llegan al 26.1, con lo que aparentemente si debería de poder salir).

¿Se os ocurre que puede ser?.

El FW2 como os he comentado tiene dos NICS, en la NIC 2 (LAN) es donde he creado los distintos interfaces OPT. En el FW1, tambien tiene solo 2 NIC, una conectada directamente a Internet y la otra LAN, haciendo de red de administración (26.1). Como peculiaridad, comentaros que tengo activado RIP v1 para todos los interfaces en ambos firewalls.

Un saludo y muchas gracias!

scumgen

Buenas,

Actualizo con nuevos datos:

Desde el FW1:

Ping desde el interface LAN:

• 10.75.26.1 (OK) -> Es el mismo
• 10.75.26.2 (OK) -> Es el interface LAN del FW2
• 10.75.27.1 (NO) -> Es el Gateway de una de las subredes creadas en el FW2
• 10.75.28.1 (NO) -> Es el Gateway de una de las subredes creadas en el FW2

Desde el FW2:

Ping desde el sub-interface de la Red 1:

• 10.75.26.1 (NO)
• 10.75.27.1 (OK) -> Su gateway
• 10.75.28.1 (OK) -> Es el Gateway de una de las subredes creadas.

Ping desde el sub-interface de la Red 2:

• 10.75.26.1 (NO)
• 10.75.27.1 (OK) -> Es el Gateway de una de las subredes creadas.
• 10.75.28.1 (OK) -> Su gateway

Ping desde el interface LAN:

• 10.75.26.1 (OK) -> Interface LAN del FW1
• 10.75.27.1 (OK) -> Es el Gateway de una de las subredes creadas.
• 10.75.28.1 (OK) -> Es el Gateway de una de las subredes creadas.

El interface WAN del segundo FW no se que uso darle, ya que no hay ninguna WAN enchufada al mismo.

Un saludo

scumgen

Buenas,

He hecho un par de cambios y me resulta bastante curioso:

(Frame Relay)-/-/-/–--(Interface WAN)-FW1-(Interface LAN)-----(Interface WAN)-FW2-(Interface LAN)---> 3 Interfaces Virtuales(OPT)

FW1:

En el interface WAN, tiene configurada la IP del FR y en el LAN la 10.75.26.1 (no tiene definidos mas interfaces que esos).

FW2:

En el interface WAN, le he configurado la IP 10.75.26.2/23 y como gateway la 10.75.26.1 (que es el FW1).
En el interface LAN le he configurado la IP 10.75.26.3/24.
Luego tengo los 3 interfaces OPT creados (3 redes de usuarios distintas), asignados cada una a una VLAN creada (y extendida tambien al FW1).

Desde el FW2, llego a la IP del Frame Relay, pero no paso de ahí (si pingeo a la 8.8.8.8 por ejemplo -dns google- no llego) desde las redes de usuario, pero si desde la 26.x (red en comun de los FW).

Cuando deshabilito el motor de firewalling del FW1 (lo transformo en router), dejo de poder llegar a la IP del Frame Relay. Revisando los logs del FW1, veo :

If          Source                  Destination
LAN      10.75.26.1:443      10.75.26.10:110888
VLAN1    10.75.27.1            224.0.0.1: ICMP router advertisement lifetime 30:00 1
VLAN2    10.75.28.1            224.0.0.1: ICMP router advertisement lifetime 30:00 1

Dropeados por la regla @48 (Default deny rule)

¿Ideas?

Un saludo!

scumgen

Esto cada vez va siendo mas extraño  ???

Con la misma topología que anteriormente he comentado, sin motivo aparente he dejado de ver desde el FW2 el interface WAN propio entre otras cosas…:

Ping desde LAN de FW2:

A la 10.75.26.1 (GW LAN del FW1)-> Erroneo

Ping desde WAN de FW2:

A la 10.75.26.1 -> Erroneo (la IP del interface WAN es la 26.2... no tiene sentido que no llegue a la .1  :o)

Ping desde LAN del FW1:

No llega a ningun lado (ni 27.1, 28.1, ni 26.2)

¿Alguna idea? Esto va siendo cada vez mas raro...

bellera

Prueba el test haciendo traceroute desde UNIX/Linux, que emplea UDP:

http://www.freebsd.org/cgi/man.cgi?query=traceroute

ping es algo limitado y según en qué montajes de pfSense sólo sale por la WAN principal.

También puedes probar con telnet:

http://www.bellera.cat/josep/pfsense/Valladolid-2008-07-03_v12.pdf (página 23).

scumgen

@bellera:

Prueba el test haciendo traceroute desde UNIX/Linux, que emplea UDP:

http://www.freebsd.org/cgi/man.cgi?query=traceroute

ping es algo limitado y según en qué montajes de pfSense sólo sale por la WAN principal.

También puedes probar con telnet:

http://www.bellera.cat/josep/pfsense/Valladolid-2008-07-03_v12.pdf (página 23).

Gracias por la respuesta bellera. Como bien dices, ping es algo limitado, pero realizo el ping desde el front-end, utilizando la función de elegir que interface quiero utilizar para ping (aunque siempre puedes forzarlo por consola igualmente con el flag adecuado).
También he usado traceroute (sin ICMP) y muestran los mismos resultados (perdida de conectividad sin motivo aparente y sin ningún cambio), y por ende, con telnet, si no llego a la maquina ni por ping, ni por traceroute, tampoco podré abrir una conexión :) Pero como suelen decir, una imagen vale mas que mil palabras:

Pruebas desde FW1 (tiene solo dos interfaces, WAN conectado directamente a una Frame Relay y LAN, que hace de interconexión con el FW2):

Ping a si mismo (OK):

ping 10.75.26.1

PING 10.75.26.1 (10.75.26.1): 56 data bytes
64 bytes from 10.75.26.1: icmp_seq=0 ttl=64 time=0.107 ms

Telnet a si mismo (OK):

telnet 10.75.26.1 22

Trying 10.75.26.1…
Connected to fw1.test.com
Escape character is '^]'.
SSH-2.0-OpenSSH_5.1p1 FreeBSD-20080901

Ping a la pata WAN del FW2 (El FW2 tiene pata WAN, y LAN, desde la que cuelgan varias VLAN de usuario):

ping 10.75.26.2

PING 10.75.26.2 (10.75.26.2): 56 data bytes
^C
–- 10.75.26.2 ping statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss

Ping a la pata LAN (interface de administración) del FW2:

ping 10.75.26.3

PING 10.75.26.3 (10.75.26.3): 56 data bytes
^C
–- 10.75.26.3 ping statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss

Telnet desde el FW1 a la pata LAN de administración del FW2:

telnet 10.75.26.3 22

Trying 10.75.26.3…
telnet: connect to address 10.75.26.3: Operation timed out
telnet: Unable to connect to remote host

Telnet desde el FW2 a la pata LAN de administración del FW1:

telnet 10.75.26.1 22

Trying 10.75.26.1…
telnet: connect to address 10.75.26.1: Operation timed out
telnet: Unable to connect to remote host

Creo que son resultados suficientes, espero que os sirva de ayuda para poder tener una fotografía mas clara.

Un saludo y gracias

bellera

¿Es esto así?

Interface LAN/ADMIN FW1 -> IP:10.75.26.1

Interface LAN/ADMIN FW2 -> IP:10.75.26.2

No pueden estar en el mismo rango.

Tendría que ser algo así:

26, 27, 28, 29 (LAN FW1) – 30 (WAN FW1) -- 30 (LAN FW2) --- 31 o Pública (WAN FW2) -- Internet

(WAN FW1 y LAN FW2 comparten tramo)

Recuerda que el tráfico de las VLAN tiene que llegar tageado a la inferfase de pfSense.

Pon regla por defecto (autorizar todo) en LAN, VLAN1, VLAN2 y VLAN3 para probar.

Desactiva el bloqueo de direcciones privadas en WAN FW1 (Block private networks) para poder llegar a FW2.

_Más adelante (para afinar este último tema) tendrías que crear un alias que incluya los rangos de direcciones privadas, a fin de denegar el tráfico entrante de este tipo en WAN:

Alias: RedesPrivadas 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 127.0.0.0/8, 169.254.0.0/16
Regla en WAN: X * RedesPrivadas * * * *

Aunque parezca un contrasentido si en tus LANs admites el tráfico hacia FW2 la regla de denegación en WAN no tendrá efecto porque es para el tráfico que no estuviera expresamente autorizado en las LANs._

scumgen

@bellera:

¿Es esto así?

Interface LAN/ADMIN FW1 -> IP:10.75.26.1

Interface LAN/ADMIN FW2 -> IP:10.75.26.2

No pueden estar en el mismo rango.

Tendría que ser algo así:

26, 27, 28, 29 (LAN FW1) – 30 (WAN FW1) -- 30 (LAN FW2) --- 31 o Pública (WAN FW2) -- Internet

(WAN FW1 y LAN FW2 comparten tramo)

Recuerda que el tráfico de las VLAN tiene que llegar tageado a la inferfase de pfSense.

Pon regla por defecto (autorizar todo) en LAN, VLAN1, VLAN2 y VLAN3 para probar.

Desactiva el bloqueo de direcciones privadas en WAN FW1 (Block private networks) para poder llegar a FW2.

_Más adelante (para afinar este último tema) tendrías que crear un alias que incluya los rangos de direcciones privadas, a fin de denegar el tráfico entrante de este tipo en WAN:

Alias: RedesPrivadas 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 127.0.0.0/8, 169.254.0.0/16
Regla en WAN: X * RedesPrivadas * * * *

Aunque parezca un contrasentido si en tus LANs admites el tráfico hacia FW2 la regla de denegación en WAN no tendrá efecto porque es para el tráfico que no estuviera expresamente autorizado en las LANs._

Hola Bellera,

Muchas gracias de nuevo por tu rapida respuesta, voy a probar lo que comentas. De todas formas he realizado nuevas pruebas para clarificar todo un poco:

FW1:

Ping a el mismo (OK):

ping -S 10.75.26.1 10.75.26.1

PING 10.75.26.1 (10.75.26.1) from 10.75.26.1: 56 data bytes
64 bytes from 10.75.26.1: icmp_seq=0 ttl=64 time=0.108 ms
64 bytes from 10.75.26.1: icmp_seq=1 ttl=64 time=0.061 ms
^C
–- 10.75.26.1 ping statistics ---
2 packets transmitted, 2 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.061/0.084/0.108/0.024 ms

Ping al interface de gestion (LAN) del FW2 (OK):

ping -S 10.75.26.1 10.75.26.3

PING 10.75.26.3 (10.75.26.3) from 10.75.26.1: 56 data bytes
64 bytes from 10.75.26.3: icmp_seq=0 ttl=64 time=0.287 ms
64 bytes from 10.75.26.3: icmp_seq=1 ttl=64 time=0.290 ms
64 bytes from 10.75.26.3: icmp_seq=2 ttl=64 time=0.368 ms
^C
--- 10.75.26.3 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.287/0.315/0.368/0.037 ms

Ping al interface WAN (interconexión entre FW) del FW2 (NO):

ping -S 10.75.26.1 10.75.26.2

PING 10.75.26.2 (10.75.26.2) from 10.75.26.1: 56 data bytes
^C
--- 10.75.26.2 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

FW2:

Ping desde una de las redes de usuarios al interface LAN del FW1 (OK):

ping -S 10.75.28.1 10.75.26.1

PING 10.75.26.1 (10.75.26.1) from 10.75.28.1: 56 data bytes
64 bytes from 10.75.26.1: icmp_seq=0 ttl=64 time=0.402 ms
^C
--- 10.75.26.1 ping statistics ---
1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.402/0.402/0.402/0.000 ms

Ping desde una de las redes de usuarios al interface LAN del FW2 (OK):

ping -S 10.75.28.1 10.75.26.3

PING 10.75.26.3 (10.75.26.3) from 10.75.28.1: 56 data bytes
64 bytes from 10.75.26.3: icmp_seq=0 ttl=64 time=0.151 ms
^C
--- 10.75.26.3 ping statistics ---
1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.151/0.151/0.151/0.000 ms

Ping desde una de las redes de usuarios al interface WAN del FW2 (NO):

ping -S 10.75.28.1 10.75.26.2

PING 10.75.26.2 (10.75.26.2) from 10.75.28.1: 56 data bytes
^C
--- 10.75.26.2 ping statistics ---
2 packets transmitted, 0 packets received, 100.0% packet loss

En el FW1 aparece de las pruebas realizadas los siguientes logs, dropeando por una regla por defecto (The rule that triggered this action is: @48 block drop in log quick all label "Default deny rule"):

Mar 29 10:55:16 VLAN2 10.75.28.1 224.0.0.1: ICMP router advertisement lifetime 30:00 1 ICMP
Mar 29 10:57:05 VLAN1 10.75.27.1 224.0.0.1: ICMP router advertisement lifetime 30:00 1 ICMP

Pongo algunos tracerts aunque no son muy significativos ya que no reflejan ningun resultado (aunque si respondan a ping):

Desde el FW2 en una red de usuarios (Si responde a ping):

traceroute to 10.75.26.1 (10.75.26.1) from 10.75.28.1, 64 hops max, 40 byte packets
1  * * *
2  * * *
3  * * *
4  * * *
5  * * *

Desde el FW2 desde el interface LAN al interface LAN del FW1 (comparten direccionamiento, por logica deberian de poder llegar. Si responde a ping):

traceroute to 10.75.26.1 (10.75.26.1) from 10.75.26.3, 64 hops max, 40 byte packets
1  * * *
2  * * *
3  * * *
4  * * *
5  * * *

Comentar que no tengo ninguna ruta estatica definida. Tengo habilitado RIP para todos los interfaces en ambos firewalls.

FW1:

WAN/Frame Relay (Internet)
LAN/Interconexión FW2: IP -> 10.75.26.1

FW2:

WAN/Interconexión FW1: IP -> 10.75.26.2
LAN: IP -> 10.75.26.3
OPT1: 10.75.27.1/24
OPT2: 10.75.28.1/24

Básicamente este es el esquema:

Internet (FR)---(WAN FW1)--|FW1|--(LAN FW1)--(WAN FW2)--|FW2|--(LAN FW2)--(Subredes)
Internet (FR)---(IP Publica)--|FW1|--(10.75.26.1)--(10.75.26.2)--|FW2|--(10.75.26.3)--(10.75.27.0/24,10.75.28.0/24)

Bellera, no me queda muy claro tu esquema, ¿podrías redifinirlo por favor?

Un saludo y muchas gracias!

Un saludo

bellera

Internet (FR)–-(WAN FW1)--|FW1|--(LAN FW1)--(WAN FW2)--|FW2|--(LAN FW2)--(Subredes)
Internet (FR)---(IP Publica)--|FW1|--(10.75.26.1)--(10.75.26.2)--|FW2|--(10.75.26.3)--(10.75.27.0/24,10.75.28.0/24)

No puedes tener WAN FW2 y LAN FW2 en mismo tramo (26). Eso no funciona.

Estás con routers, cada tramo tiene que ser distinto, excepto FW1 LAN y FW2 WAN que son la misma subred.

Por tanto:

FW2|–(10.75.27.0/24)--(10.75.28.0/24,10.75.29.0/24)

Bellera, no me queda muy claro tu esquema, ¿podrías redifinirlo por favor?

Es lo mismo, puesto al revés. Me gusta dibujar de dentro a afuera…

scumgen

@bellera:

Internet (FR)–-(WAN FW1)--|FW1|--(LAN FW1)--(WAN FW2)--|FW2|--(LAN FW2)--(Subredes)
Internet (FR)---(IP Publica)--|FW1|--(10.75.26.1)--(10.75.26.2)--|FW2|--(10.75.26.3)--(10.75.27.0/24,10.75.28.0/24)

No puedes tener WAN FW2 y LAN FW2 en mismo tramo (26). Eso no funciona.

Estás con routers, cada tramo tiene que ser distinto, excepto FW1 LAN y FW2 WAN que son la misma subred.

Por tanto:

FW2|–(10.75.27.0/24)--(10.75.28.0/24,10.75.29.0/24)

Bellera, no me queda muy claro tu esquema, ¿podrías redifinirlo por favor?

Es lo mismo, puesto al revés. Me gusta dibujar de dentro a afuera…

Hola otra vez,

He hecho los cambios que me has sugerido quedando todo del siguiente modo

(Internet)–(WAN)--|FW1|--(LAN)--(WAN)--|FW2|--(LAN)--(Subredes)
(IP Publica)--|FW1|--(10.75.26.1)--(10.75.26.2)--|FW2|--(10.75.27.1)--(10.75.28.0/24,10.75.29.0/24)

Y te comento:

Estando en la red .27, no llego a la .26 (para llegar tengo que cambiarme el direccionamiento).

Las pruebas realizadas desde el FW2 arrojan los siguientes resultados:

Ping desde red de usuarios (.28) al interface WAN del FW2 (OK):

PING 10.75.26.2 (10.75.26.2) from 10.75.28.1: 56 data bytes
64 bytes from 10.75.26.2: icmp_seq=0 ttl=64 time=0.047 ms
64 bytes from 10.75.26.2: icmp_seq=1 ttl=64 time=0.029 ms
64 bytes from 10.75.26.2: icmp_seq=2 ttl=64 time=0.019 ms

--- 10.75.26.2 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.019/0.032/0.047/0.012 ms

Ping desde el interface LAN del FW2 al interface LAN del FW1 (NO):

PING 10.75.26.1 (10.75.26.1) from 10.75.27.1: 56 data bytes

--- 10.75.26.1 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

Ping desde el interface WAN del FW2 al interface LAN del FW1 (NO):

PING 10.75.26.1 (10.75.26.1) from 10.75.26.2: 56 data bytes

--- 10.75.26.1 ping statistics ---
1 packets transmitted, 0 packets received, 100.0% packet loss

He bajado el motor de firewalling del FW2 por si acaso, pero da los mismos resultados. ¿Alguna idea?. Paso la tabla de rutas por si van por ahí los tiros:

FW2:

Destination Gateway
default 10.75.26.1
10.75.26.0/24 link#2
10.75.26.2 00:XX:XX:1e:38:80
10.75.26.10 link#2
10.75.27.0/24 link#1
10.75.27.1 00:XX:XX:1e:38:7f
10.75.27.10 00:XX:XX:a2:6a:72
10.75.28.0/24 link#8
10.75.28.1 00:XX:XX:1e:38:7f
10.75.29.0/24 link#9
127.0.0.1 127.0.0.1

FW1:

Destination Gateway
0.0.0.0/32 XXX.XX.XXX.XXX
default XXX.XX.XXX.XXX
10.75.26.0/24 link#1
10.75.26.10 00:XX:XX:a2:6a:72
127.0.0.1 127.0.0.1
XXX.XX.XXX.X/24 link#2

Y la configuración de los interfaces:

FW2:

WAN interface
Status up
MAC address 00:11:25:1e:38:80
IP address 10.75.26.2 
Subnet mask 255.255.254.0
Gateway 10.75.26.1

LAN interface
Status up
MAC address 00:11:25:1e:38:7f
IP address 10.75.27.1 
Subnet mask 255.255.255.0

OPT1 interface (vlan0)
Status up
MAC address 00:11:25:1e:38:7f
IP address 10.75.28.1 
Subnet mask 255.255.255.0

OPT2 interface (vlan1)
Status up
MAC address 00:11:25:1e:38:7f
IP address 10.75.29.1 
Subnet mask 255.255.255.0

FW1:

WAN interface
Status no carrier (Actualmente tengo la FR tirada)
MAC address 00:15:c5:5d:27:aa
IP address XXX.XXX.XXX.XXX 
Subnet mask 255.255.255.0
Gateway XXX.XXX.XXX.XXX
ISP DNS servers X.X.X.X

LAN interface
Status up
MAC address 00:15:c5:5d:27:a9
IP address 10.75.26.1 
Subnet mask 255.255.255.0

Un saludo y muchas gracias

scumgen

Bueno, parece que la foto va tomando forma:

Desde red de usuarios (FW2) llego al interface WAN del FW2:

PING 10.75.26.2 (10.75.26.2) from 10.75.28.1: 56 data bytes
64 bytes from 10.75.26.2: icmp_seq=0 ttl=64 time=0.049 ms
64 bytes from 10.75.26.2: icmp_seq=1 ttl=64 time=0.031 ms
64 bytes from 10.75.26.2: icmp_seq=2 ttl=64 time=0.012 ms

–- 10.75.26.2 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.012/0.031/0.049/0.015 ms

Desde la red e interface LAN (FW2) llego también al interface WAN del FW2:

PING 10.75.26.2 (10.75.26.2) from 10.75.27.1: 56 data bytes
64 bytes from 10.75.26.2: icmp_seq=0 ttl=64 time=0.047 ms
64 bytes from 10.75.26.2: icmp_seq=1 ttl=64 time=0.048 ms
64 bytes from 10.75.26.2: icmp_seq=2 ttl=64 time=0.065 ms

--- 10.75.26.2 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.047/0.053/0.065/0.008 ms

Pero desde el interface WAN (FW2) no llego al interface LAN del FW1:

PING 10.75.26.1 (10.75.26.1) from 10.75.26.2: 56 data bytes

--- 10.75.26.1 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss

Va por buen camino... ¿Alguna idea por donde pueden ir los tiros? :)

scumgen

Sigo evolucionando un poco y ya voy viendo mas cerca la luz al final del tunel. Estas son las nuevas pruebas:

Desde el FW1 interface LAN (que conecta con el FW2) al interface WAN del FW2 (OK):

PING 10.75.26.2 (10.75.26.2) from 10.75.26.1: 56 data bytes
64 bytes from 10.75.26.2: icmp_seq=0 ttl=64 time=0.297 ms

–- 10.75.26.2 ping statistics ---
1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.297/0.297/0.297/0.000 ms

Desde el FW2 (interface WAN) al interface LAN del FW1 (OK):

PING 10.75.26.1 (10.75.26.1) from 10.75.26.2: 56 data bytes
64 bytes from 10.75.26.1: icmp_seq=0 ttl=64 time=0.299 ms

--- 10.75.26.1 ping statistics ---
1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.299/0.299/0.299/0.000 ms

Desde el FW2 (Interface LAN) al interface WAN del FW1 (NO):

PING 10.75.26.1 (10.75.26.1) from 10.75.27.1: 56 data bytes

--- 10.75.26.1 ping statistics ---
1 packets transmitted, 0 packets received, 100.0% packet loss

Desde el FW2 (Interface LAN) al interface WAN del FW2 (OK):

PING 10.75.26.2 (10.75.26.2) from 10.75.27.1: 56 data bytes
64 bytes from 10.75.26.2: icmp_seq=0 ttl=64 time=0.052 ms

--- 10.75.26.2 ping statistics ---
1 packets transmitted, 1 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 0.052/0.052/0.052/0.000 ms

Es decir, que desde la LAN del FW2 y redes de usuarios del FW2 no llego al WAN del FW1. ¿Ideas? :)

scumgen

Como siempre ocurre en estos casos, al final fallaba lo mas tonto.

Ya tengo los dos FW funcionando. El problema es que faltaban las rutas estaticas hacia las redes de usuario que tengo en el FW2 desde el FW1, con lo que la vuelta se perdía. He añadido en el interface LAN del FW1 las rutas estaticas pertinentes con GW el interface WAN del FW2 y ya funciona todo como un tiro.

Gracias  ;)

bellera

¡Ok, me alegro!

¡De nada!

scumgen

Buenas compañeros foreros,

De nuevo tengo otro problemilla al cual no le veo lógica. Con la misma estructura de FW Interno y Externo…

Internet-|FW1|-----|FW2|---Redes de usuarios
                |
                |
  Red Usuarios Externa

El problema es que desde la red de usuarios (FW2-OPT1,OPT2) no llego a los dispositivos de la red de usuarios externa, pero si a su interface (FW1-OPT1):

WAN--|FW1|--(LAN=10.75.26.1)--(WAN=10.75.26.2)--|FW2|--(LAN=10.75.27.1)--(OPT1,OPT2=10.75.27.0,28.0.29.0)
            |
            |
(OPT1=172.16.XX.1)
            |
            |
    (Dispositivos)

Le he metido una ruta estática en el FW2 pero tampoco funciona:

Interface                      Network                  Gateway
RedUsuarios           172.16.87.0/24 10.75.26.1

Si hago un ping como os comento desde el FW1 usando como origen el interface OPT1 del FW1 llega:

ping -S 172.16.XX.1 172.16.XX.2

PING 172.16.XX.2 (172.16.XX.2) from 172.16.XX.1: 56 data bytes
64 bytes from 172.16.XX.2: icmp_seq=0 ttl=64 time=0.646 ms
64 bytes from 172.16.XX.2: icmp_seq=1 ttl=64 time=0.689 ms
64 bytes from 172.16.XX.2: icmp_seq=2 ttl=64 time=0.629 ms

Y si hago ping desde la red de usuarios, se pierde en transito:

PING 172.16.87.2 (172.16.XX.2) from 10.75.28.1: 56 data bytes
36 bytes from 10.75.28.1: Time to live exceeded
Vr HL TOS  Len  ID Flg  off TTL Pro  cks      Src      Dst
4  5  00 5400 c874  0 0000  01  01 0000 10.75.28.1  172.16.XX.2

36 bytes from 10.75.28.1: Time to live exceeded
Vr HL TOS  Len  ID Flg  off TTL Pro  cks      Src      Dst
4  5  00 5400 fe5b  0 0000  01  01 0000 10.75.28.1  172.16.XX.2

36 bytes from 10.75.28.1: Time to live exceeded
Vr HL TOS  Len  ID Flg  off TTL Pro  cks      Src      Dst
4  5  00 5400 eb1d  0 0000  01  01 0000 10.75.28.1  172.16.XX.2

Tengo las VLAN extendidas en ambos firewalls y en el switch lógicamente en donde están conectados también, tengo activado RIP en ambos FW en todos sus interfaces, y tengo todo permitido en los FW...

¿Alguna idea?

scumgen

Una cosilla más…

Si modifico la ruta estática del FW2:

Interface Network         Gateway
LAN         172.16.XX.0/24 10.75.26.1

PING 172.16.87.2 (172.16.XX.2) from 10.75.28.1: 56 data bytes
^C
--- 172.16.87.2 ping statistics ---
14 packets transmitted, 0 packets received, 100.0% packet loss