Problemas de configuración vlans pfsense-switch



  • Saludos a todos, espero puedan ayudarme.

    Estoy implementando un laboratorio de pruebas con pfsense 2.0.1, para posteriormente pasarlo a producción, tengo problemas en relación a las vlans el cual describo acontinuación.

    Cuento con un switch EdgeIron 2402CF de 24 ptos, el servidor donde tengo instalado pfsense tiene 4 interfaces de red (lan, lan2, wan, dmz). El problema que tengo y a la vez confusión es en cuanto a las vlans.

    Cree las vlans en el switch separandolo en 4 vlans, respectivamente.

    pto 1-6 vlan 1  (lan)
    pto 7-12 vlan 10 (wan)
    pto 13-18 vlan 20 (dmz)
    pto 19-24 vlan 30 (lan2)

    Las vlans en el switch las creo sin problemas aunque aqui mi duda es si tengo que poner los puertos como tagged o untagged.

    Dentro de pfsense al momento de instalarlo se le asigno las interfaces (nfe0, nfe1, em0, em1) sin hacer otros cambios. dentro del menu interfaces y assign en la parte de interfaces aparecen las interfaces asignadas previamente, lo que hice fue irme a la pestaña de vlans y asignar un vlan id para cada interfaz (nfe0, nfe1, em0, em1) siendo el mismo que cree en el switch (1, 10, 20, 30) (OTRA DUDA ES VER SI ESTO SE HIZO CORRECTAMENTE Y SI ASI SE HACIA).

    Dentro del pfsense configuré las reglas de nat para tener salida a internet desde la red lan saliendo por la interfaz wan (la que sale a internet), pero no logro ver ninguna página.

    La verdad no se muy bien cual pueda ser el problema y si lo que he hecho es correcto (segun yo si), tampoco entiendo bien el uso de ptos trunk dentro del switch y si deba configurar trunk en el mismo y cual sería su utilidad y como sería la conexión.

    Espero haya sido claro en mi problema y espero puedan ayudarme, ya que de esto depende mi tesis de licenciatura :)

    Agradesco sus comentarios, saludos



  • Documentación (en lo alto de este foro), entrada Ahorrando tarjetas de red, gestionando VLAN en switch y pfSense.

    Mi duda es si tengo que poner los puertos como tagged o untagged.

    Todo lo que vaya a una tarjeta de red que no tenga definidas VLANs tiene que ir untagged. El ejemplo más usual son las bocas de donde cuelgan los PCs. Una boca unttaged sólo puede pertenecer a una VLAN.

    La bocas tagged son las que transportan paquetes "etiquetados". Esto quiere decir que son las que conectan a otros switches con VLANs o a equipos donde tengas definidas VLANs por etiquetado. Sería el caso de una tarjeta de red en pfSense donde "levantas" VLANs. Una boca tagged puede pertenecer a varias VLANs.

    Fue irme a la pestaña de vlans y asignar un vlan id para cada interfaz (nfe0, nfe1, em0, em1)

    Um… Tienes cuatro placas. No necesitas definir VLANs en tu pfSense, si dejas todas las bocas del switch en untagged. Las VLANs en pfSense tienen sentido si quieres "ahorrar" tarjetas. Ver Documentación, Ahorrando tarjetas de red, gestionando VLAN en switch y pfSense.

    Dentro del pfsense configuré las reglas de nat para tener salida a internet.

    Igual leíste algún tutorial (incluyendo el mío) que te lió con esto. NAT Outbound puede dejarse en automático. De hecho sólo se necesita que sea manual si hay que hacer mapeos estáticos (VoIP, por ejemplo).

    Si debo configurar trunk.

    http://en.wikipedia.org/wiki/Trunking

    El término trunk es algo confuso. Algunos fabricantes lo usan para definir la boca tagged que comunica con otros equipos (la que pertenece a todas las VLANs). Y otros fabricantes para definir bocas que trabajan conjuntamente (link aggregation), para dar más ancho de banda. Consulta documentación de tu switch…

    Espero haber aclarado tus dudas...



  • Saludos.

    Muchas gracias por la ayuda compañero bellera, pero aun sigo teniendo problemas.

    Sigo sin poder salir a internet desde una máquina de mi interfaz lan (192.168.1.2). Configure el nat outbound como me lo sugeriste pero aun asi nada :(. Al momento de intentar ver una página (por ejemplo www.google.com.mx) en la parte de logs me mostraba lo siguiente

    192.168.1.2  máquina que quiere salir a internet
    192.168.1.1 ip local interfaz lan del firewall.

    origen–-------------------------------->destino
    192.168.1.2:6786------------------>192.168.1.1:53

    hacía como que cargaba la página, pero pasado un rato me mostraba que no fue posible conectarse

    Tengo que mover algo en los dns del firewall? vi sobre DNS forwarder, pero no se que moverle :(.

    Espero me haya explicado y puedan ayudarme.

    Muchas gracias, saludos.



  • A ver, por lo que explicas tienes DHCP activado en LAN y este configura como DNS de la máquina a pfSense (la propia LAN). Esto es lo más normal.

    Asegúrate que en [Services] [DNS] tienes activada la casilla [Enable DNS forwarder]. Puedes comprobar que el servicio funciona correctamente yendo a [Status] [Services]

    Además, para salir de dudas, usa nslookup en el equipo cliente para ver si está resolviendo bien.

    Y verifica que tengas bien configurados los DNS externos en [System] [General] [DNS Servers], pues pfSense "tira" de ellos para hacer funcionar su  [Services] [DNS].

    Si sigues teniendo problemas y es sólo en un equipo entonces es algo que no está bien en el equipo. O alguna regla que tengas que afecte sólo a ese equipo.



  • Saludos.

    Agradezco tus comentarios compañero Bellera, pero aun sigo teniendo problemas.

    1. En La interfaz LAN tengo activado dhcp para red 192.168.1.x/24

    2. En [services][dns] si esta activo el dns forwarder y en [status][services] si se encuentra activo.

    3. Los DNS externos si estan bien configurados dentro de [system][General][dns servers].

    Todo lo anterior esta aparentemente bien, el problema es que sigo sin poder salir a internet a traves de esa interfaz. La verdad no se que más hacer y me estoy desesperando jaja.

    Que otro problema pudiera ser, no se si este en los puertos del switch aunque la verdad no creo, las vlans estan creadas y activadas correctamente de acuerdo a los puertos que le asigne, todos los tengo como untagged y no tengo puertos trunk configurados.

    Espero me puedas seguir apoyando y esto se resuelva pronto, seguire revisando que más puede ser la falla.

    Muchas gracias por todo, seguimos en contacto



  • Puedes colocar pantalla son de las rules del fe, mi correo es gersonofstone@hotmail.com



  • Hola, espero poder ayudar.

    Para descartar problemas con el switch y su configuracion te sugiero lo siguiente, ya que por lo que puedo notar no tienes mucha experiencia con las VLANs y su operacion :

    1. Conecta la PC directamente al puerto LAN de tu servidor via un cable cruzado.
    2. Verifica que estas recibiendo una direccion IP con los datos de la subred de manera correcta. Direccion IP, Mascara, Puerta de enlace , DNS
    3. Intenta dar un ping a la puerta de enlace ( Firewall ), desde la PC
    4. Verifica la IP de tu interace WAN e Intenta dar un ping a la ip de tu interface WAN para verificar que el NAT este bien configurado.
    5. Verifica que tengas por lo menos una regla en tu firewall (Interface LAN ) que te permita el acceso de los paquetes qe vienen de tutu interface LAN hacia cualquier destino a cualquier protocolo y cualquier puerto.
    6. Intenta enviar un ping a un sitio externo ( ej. 8.8.8.8 , google ), y verifica la salida.
    7. Si el paso 5 es satisfactorio , prueba con un ping a algun dominio, (Ej. ping google.com), si no tienes DNS Puede ser este el problema

    Publica las pantallas de la configuracion de tus interfaces. NAT y Firewall .

    Por cierto , borra cualquier configuracion de VLANs en el servidor que por lo que veo tampoco lo necesitas ya que tienes muchas intefaces.

    Saludos

    crmeae


Log in to reply