Problemas con configuración de interfaces.



  • Buenas

    Tengo este inconveniente, cuento con este escenario:

    Contamos con cuatro pfsense los cuales vamos a llamar:

    • pfsense A
    • pfsense B
    • pfsense C
    • pfSense D

    El pfsense A es el central en esa zona que cuenta con 5 interfaces:

    • la WAN que es una IP publica para la salida de internet(IP: 201.x.x.x.)
    • la LAN que es para dar DHCP a nuestros usuarios(IP: 182.16.4.12)
    • la OPT1(IP:192.168.110.x) que es un enlace físico punto a punto que comunica los tres pfsense
    • la OPT2(IP: 172.16.20.x) que es para una VLAN de Telefonía,
    • la OPT3(IP: 192.168.110.43) que es otro enlace punto multi-punto que comunica a los tres pfsenses anteriores) A,B y C

    El problema es este: el ¨ pfsense C¨ cuenta con las siguientes interfaces y una VLAN

    *WAN ( Es una IP 182.16.4.8 con el gateway 182.16.4.12) NOTA: para conectarse utilizan una conexión punto a punto con el ¨pfsense A¨ y una ruta estática)
    *LAN ( Una iP 182.16.2.X que es para darle DHCP a los usuarios )
    *VLAN ( 182.16.20.10 Que pasa sobre la interfaz de la LAN)

    Actualmente esta forma funciona pero el problema es que este grupo de personas utilizan el internet del pfsense A , por lo que adquirimos una linea de internet para que quede de una forma correcta.

    Lo ideal debe quedar de esta forma:

    *WAN (Una IP publica para salida de internet)
    *LAN  (que es para dar DHCP a nuestros usuarios (IP: 182.16.2.X)
    *la OPT1 (¨Datos¨ que es una una ruta estática al pfsense A)
    *VLAN Telefonía (172.16.20.X)

    Sin embargo cuando estoy en la configuración de la LAN y la WAN todo funciona correctamente los usuarios tienen internet y pasan por un proxy pero al momento de configurar la interfaz OPT1 (y las rutas estáticas para que esto funcione)  Es la de datos para consultar en los servidores que están en el ¨pfsense A¨, los usuarios ya no pueden navegar en internet y la solución es volverles a configurar el proxy del ¨pfsense A¨ osea vuelven a utilizar el internet del ¨pfsense A ¨ que es lo que no quiero.

    Como NOTA a mi explicación: Estoy consciente de que debe estar marcado el check que esta en : System/Advanced:Firewal and NAT que dice lo siguiente:

    Disable Firewall     |  |  Disable all packet filtering

    Para que la comunicación de diferentes segmentos exista.

    Este pfSenseC está instalado en un server Dell PowerEdge R710(pfsense rel. 2.0.1 64bits)

    Me gustaría saber ¿si alguno tiene alguna idea de como solucionar este problema? o ¿si han pasado por algo parecido?

    Saludos y de antemano las gracias.




  • ¿Puedes postear el esquema de nuevo indicando, por favor, todos los rangos?

    Y de qué rango a qué rango quieres ir.

    De entrada te diría que:

    • Nunca prové la opción de deshabilitar las funciones de cortafuegos y parar PF. ¿Igual tiene sentido para pruebas?
    • Por defecto, las WAN no tienen autorizado tráfico hacia IPs privadas. Eso tienes que deshabilitarlo, excepto para el pfSense que dé directamente a internet (el D, por lo que veo).
    • Tus pfSense internos estarán haciendo NAT saliente (NAT Outbound). ¿Lo quieres?
    • Tus pfSense internos estarán impidiendo el tráfico entrante en WAN. ¿Tienes reglas que lo autoricen, almenos para lo que quieres?
    • En general debe evitarse definir rutas para interfases de pfSense. pfSense ya las tiene. ¿No tendrás más rutas de las necesarias? Diagnostics - Routes | Diagnostics - Traceroute.


  • Buenas Bellera

    Gracias por tu pronta respuesta , te adjunto el diagrama con todos los rangos que me pediste.

    Para responder a tus preguntas:

    • Nunca prové la opción de deshabilitar las funciones de cortafuegos y parar PF. ¿Igual tiene sentido para pruebas?:  Tuve que marcar este check debido a que si no esta marcado, no puedo hacer ping a las otras LAN donde están el pfsenseA, pfsenseB y pfsenseD ni ellas piniar mi LAN del pfsenseC.

    • Por defecto, las WAN no tienen autorizado tráfico hacia IPs privadas. Eso tienes que deshabilitarlo, excepto para el pfSense que dé directamente a internet (el D, por lo que veo): Me podrías indicar como hacer este paso si me hace el favor. O talvez no te entendí la pregunta, como te lo comente anteriormente Todos los pfsensesA, pfsenseB, pfsenseC, y pfsenseD tiene una linea de internet con una IP publica para que en caso de que al pfsense A no tenga internet los pfsenseB y pfsenseC si tengan, sin embargo el pfsenseC y pfsenseD actualmente usan el internet del pfsenseA, por eso quiero que cada uno dependa de su propia linea.

    • Tus pfSense internos estarán haciendo NAT saliente (NAT Outbound). ¿Lo quieres?: Si quiero ya que entre estas LAN deben de intercambiar paquetes o (DATOS) es decir que se puedan ver entre ellas para  que los pfsenseC y pfsenseB puedan consultar a los servidores que están en la LAN del pfsenseD y del pfsense A.

    • Tus pfSense internos estarán impidiendo el tráfico entrante en WAN. ¿Tienes reglas que lo autoricen, almenos para lo que quieres?  NO tengo reglas en WAN para eso, si me podría indicar algún link para leer sobre como crearlas estaría perfecto, actualmente solo tengo reglas en WAN sobre el paso de ssh desde afuera o Acceso al pfsense desde IP publicas etc.

    • En general debe evitarse definir rutas para interfases de pfSense. pfSense ya las tiene. ¿No tendrás más rutas de las necesarias? Diagnostics - Routes | Diagnostics - Traceroute.

    Las rutas que tengo son las que te adjunto abajo con el nombre ¨Rutas.jpg¨:

    ![diagrama quepos.jpg](/public/imported_attachments/1/diagrama quepos.jpg)
    ![diagrama quepos.jpg_thumb](/public/imported_attachments/1/diagrama quepos.jpg_thumb)



  • Si no entendí mal…

    LANs                            WANs  
    
    LAN  192.168.110.X/24           WAN ---------------------- internet
    OPT1 192.168.110.10/24    D
    OPT2 ?
    OPT3 192.168.100.70/24
    
    LAN  172.16.4.12/24             WAN ---------------------- internet
    OPT2 172.16.4.20/24       A     192.168.110.41/24 OPT1 --- [D] OPT1
                                    192.168.100.42/24 OPT3 --- [D] OPT3
    
    LAN 172.16.8.10/24              WAN ---------------------- internet
    OPT2 ?                    B     172.16.4.8/24 OPT1 ------- [A] LAN
                                    192.168.100.44/24 OPT3 --- [D] OPT3
    
    LAN 172.16.2.9/24               WAN ---------------------- internet 
    OPT2 ?                    C     172.16.4.9/24 OPT1 ------- [A] LAN
                                    192.168.100.43/24 OPT3 --- [D] OPT3
    

    pues no indicaste las máscaras (que he supuesto a 24) ni alguno de los rangos.

    En D tienes a LAN y OPT1 en el mismo rango. A no ser que estén separadas por juego de máscaras. Cada interfase de pfSense (física o VLAN) tiene que ser una subred distinta, excepto si estuviesen en modo puente.

    En A sucede lo mismo en LAN y OPT2.

    Las OPT2 de D, B y C no sé cómo están.

    Tuve que marcar este check debido a que si no esta marcado, no puedo hacer ping a las otras LAN donde están el pfsenseA, pfsenseB y pfsenseD ni ellas piniar mi LAN del pfsenseC.

    Ok, para test.

    Eso tienes que deshabilitarlo, excepto para el pfSense que dé directamente a internet (el D, por lo que veo):

    Me podrías indicar como hacer este paso si me hace el favor.

    Interfaces - WAN -  Block private networks (desmarcar la casilla)

    NO tengo reglas en WAN para eso, si me podría indicar algún link para leer sobre como crearlas estaría perfecto

    Como cualquier regla en LAN. Por ejemplo, en [A] OPT3 tendrás que autorizar el tráfico entrante procedente de [D] OPT3 si quieres poder ir a [A] LAN o [A] OPT2.

    Las rutas que tengo…

    Sí son necesarias algunas rutas para el (complejo) montaje que tienes. Por ejemplo, si un equipo en [D] LAN tiene que llegar a uno en [A] LAN será preciso indicar en [D] que hay que ir por su OPT3. Pues [D] no conoce las subredes no comunes que hay en [A]…

    Al final todo acaba siendo: subredes distintas, autorización de tráfico y rutas sólo si las subredes no están en el propio pfSense.

    Espero haber aclarado un poco el tema.

    Saludos,

    Josep Pujadas-Jubany



  • Gracias por tu apoyo Josep

    Pero hice todo lo que me dijiste y de igual forma no puedo salir a internet, tienes razon me equivoque al digitar las interfaces que tengo.
    En realidad son:

    WAN: IP Publica para navegar
    LAN: 172.16.4.12
    OPTI  192.168.110.41  GAT/.110.10
    OPT2 172.16.20.10  (Telephony)
    OPT3 192.168.120.10 /GAT .120.10

    Todo lo demás lo configure a como me lo mencionaste.

    ´´Lo que me di cuenta es que mi servicio del squid esta detenido, y no puedo darle un star ya que cuando trato de navegar se vuelve a poner en stop.´´´´



  • Lo que me di cuenta es que mi servicio del squid esta detenido, y no puedo darle un star ya que cuando trato de navegar se vuelve a poner en stop.

    Primera noticia de que tenías esto instalado… Mira en los logs el motivo del paro.

    Deshabilita el modo transparente y/o el servicio squid para hacer pruebas de conectividad.

    Si no funciona es que hay un problema con las [Firewall] [Rules], [System] [Routing] o con la topología.

    Intenta acotar, ir paso a paso con lo que haces. La instalación que tienes no es sencilla y tienes que ir paso a paso. Si quieres hacer muchas cosas a la vez, mal asunto.

    Saludos,

    Josep Pujadas-Jubany



  • Muchas gracias Josep

    Voy a volver a empezar desde el principio y asegurarme de ir paso a paso como me lo recomendaste, sin embargo te paso el link con las imagenes de la configuración que tenía hasta el momento es importante que te mencione que con esa configuración ya podía ver y piniar cada uno de los pfsenses el único problema es que no daba internet a mis usuarios por medio del proxy aunque mi pfsense si tenía ya que podía descargar packages (también probé desactivando el proxy)sin embargo, al desactivar el check de ¨Disable Firewall¨ que está en la opción System , advance ,  Disable all packet filtering no podía piniar mis pfsenseC y pfsenseB y cuando lo desactivo ya no tengo internet en el pfsenseA que es con el que estoy trabajando.

    https://skydrive.live.com/?cid=3c0c43284af2d36d&id=3C0C43284AF2D36D!114



  • Bueno, en LAN se me hace exteraño que tengas sólo una regla con destino LAN net  TCP 80.

    Si esto tiene que ser parar salir a internet hacia servidores web el destino debería ser any.

    Tú tienes el montaje en la cabeza y lo ves… Paso a paso, como te dije.

    ¡Suerte!



  • Excelente todo funciono, muchas gracias por tu colaboración Josep!!


Locked