[Resolvido] Regra liberando forward entre 2 placas do PfSense



  • Boa Noite,

    Hoje tenho um Firewall com linux, onde tem uma WAN, uma LAN e uma placa ligada a um roteador de um link MPLS com filiais.
    Esta funcionando.

    Mas quero trocar esta firewall da matriz por um Pfsense.

    Fiz o diagrama em anexo para exemplificar o cenário.

    Tenho uma placa OPT1 no pfsense ligando ao roteador do link MPLS.
    Mas não estou conseguindo criar uma regra para permitir o trafego da rede da filial com a rede LAN da Matriz.

    Adicionei a rota para rede da filial no pfsense, e criei regras liberando o trafego na interface OPT1, colocando Source=LAN NET e Dest=Rede da fiilal
    e outra regra como Dest=LAN NET e Source=Rede Filial
    Mas não funcionou.

    Como devo configurar o pfsense para permitir comunicação do computador da filial com uma servidor na minha LAN?

    Grato,

    Julio

    ![Diagrama Firewall.png](/public/imported_attachments/1/Diagrama Firewall.png)
    ![Diagrama Firewall.png_thumb](/public/imported_attachments/1/Diagrama Firewall.png_thumb)



  • Boa Noite Julio,

    Primeiro é claro bem vindo ao pfSense.  :)

    O diagrama facilitou muito o entendimento.

    O pfSense trata as regras onde a comunicação é iniciada, portanto, na OPT1 coloque regras onde a origem é a rede que esta chegando pela opt1(rede filial) e nas regras da lan todas as regras inciada por ips na lan net.

    Por padrão, o nat do pfsense vem no modo automático. Para você conseguir simplesmente rotear os pacotes entre uma rede e outra, você precisa passar o nat para manual(firewall -> nat -> outbond) e criar as regras apenas para os pacotes que vão sair pela wan por exemplo.

    Acredito que com essas duas modificações, você já tenha um ambiente funcional.

    Vale sempre a dica de habilitar o ssh, logar na console e acompanhar o trafego via tcpdump. Como você já tem experiência com linux, não deve encontrar dificuldades.

    att,
    Marcello Coutinho



  • Bom Dia Marcelo,

    Obrigado pelo retorno.

    Então se eu fizer uma regra na OPT1, conforme o print em anexo, os computadores da filial já devem conseguir acessar o servidor da matriz?
    Ou devo fazer uma regra na interface LAN, com Source=LAN NET e Dest=172.20.0.0/16 ?

    Quanto ao NAT, essa alteração para manual, serve apenas para os port forward que eu fizer a minha WAN para um IP na LAN certo?
    Ele não influencia a comunicação entra as redes Filial(OPT1) e Matriz(LAN) né?

    Att,
    Julio




  • Você não precisa se preocupar com a regra "de retorno", o keep state do firewall já resolve isso pra você.

    Quando você passar o nat para manual, vai ver que ele inclui automaticamente uma regra para wan.
    Se você não desabilitar o nat entre as redes internas, os pacotes sempre chegarão com o ip do outro firewall e não da rede da matriz ou filial.



  • Boa Noite Marcelo,

    Só para agradecer, esta funcionando 100%.

    Estou gostando muito do PfSense.

    Att,

    Julio


Log in to reply