Acesso entre 2 redes



  • Bom dia Pessoal…
    Li varios posts sobre o assunto e tentei aplicar as solucões descritas, mas não obtive sucesso.

    minha configuração:

    • rede1 - 10.1.1.0/8
    • rede2 - 172.16.0.1/16

    cada rede tem sua própria placa no pfsense e esta ligada em um switch diferente... os 2 switchs não estão ligados entre si de outro forma a não ser pela ponte feita pelo PFsense.

    Meu problema é simples. quero que toda rede1 acesse tudo na rede2... e que toda rede2 não acesse nada na rede1....
    minha primeira tentativa foi criar na rede de origem (rede1) uma rule que liberasse toda comunicação da rede1 para rede2 como na imagem anexa.
    tentei criar uma rota estática, como dizia em algums posts, mas na propria tela do pfsense existe um aviso bem claro....
    " Note: Do not enter static routes for networks assigned on any interface of this firewall."
    outro post dizia para criar uma floating rule, mas tbem não funcionou...

    []s




  • Olá!

    NA interface de rede de origem e de destino crie regras habilitando o trafego com origem na rede1 que vai acessar a rede2.

    Na interface da rede2 crie uma regra negando o destino na rede1.



  • @LFCavalcanti:

    Olá!

    NA interface de rede de origem e de destino crie regras habilitando o trafego com origem na rede1 que vai acessar a rede2.

    Na interface da rede2 crie uma regra negando o destino na rede1.

    LFCavalcanti.
    Na imagem anexa no primeiro post já estava criada (na rede de origem da comunicação) a regra habilitando o trafego para a rede de destino.
    Criei a regra como vc indicou na rede de destino permitindo o trafego da rede de origem, mas ainda não consigo acesso.

    segue os ScrenShots…..






  • sosmicro,

    O pfsense é gateway das duas redes?
    Como esta configurado on nat para estas interfaces?



  • @marcelloc:

    sosmicro,

    O pfsense é gateway das duas redes?
    Como esta configurado on nat para estas interfaces?

    marcelloc…

    sim, é o gateway das duas redes (10.1.1.1/8 e 172.16.0.250/16)
    o nat esta manual. (outbound)



  • @sosmicro:

    sim, é o gateway das duas redes (10.1.1.1/8 e 172.16.0.250/16)

    caracas, suas máscaras de rede estão exageradas, se puder, reduz para um número mais razoável, por exemplo um /22

    @sosmicro:

    o nat esta manual. (outbound)

    você já conferiu se não esta sobrando alguma regra de nat que possa estar atrapalhando?

    Já usou o tcpdump para ver o que esta acontecendo de errado?



  • @marcelloc:

    caracas, suas máscaras de rede estão exageradas, se puder, reduz para um número mais razoável, por exemplo um /22
    você já conferiu se não esta sobrando alguma regra de nat que possa estar atrapalhando?
    Já usou o tcpdump para ver o que esta acontecendo de errado?

    marcelloc.

    coloquei as mascaras em /22.
    conferi as regras, tudo normal.
    no tcpdump não me retorna nenhum bloqueio, que devo olhar???

    []s



  • @sosmicro:

    no tcpdump não me retorna nenhum bloqueio, que devo olhar???

    Se os pacotes estão entrando por uma interface, saindo pela outra e fazendo o mesmo caminho de volta.



  • apenas um comentário.

    neste pfsense uso o squid.
    se tento pingar algum equipamento na rede2 não consigo, mas se uso um navegador com o proxy setado , aí consigo acessar a interface dos ATAS que estao nesta rede…
    ou seja, pelo proxy (loopback) consigo acesso a rede2, mas diretamente não...

    segue abaixo o resultado do tcpdump.

    em1=172.16.0.0/22
    tcpdump -i em1 dst 172.16.0.33
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on em1, link-type EN10MB (Ethernet), capture size 96 bytes
    09:23:55.834067 IP 10.1.1.5 > 172.16.0.33: ICMP echo request, id 1, seq 71, length 40
    09:24:00.467591 IP 10.1.1.5 > 172.16.0.33: ICMP echo request, id 1, seq 72, length 40
    09:24:05.475090 IP 10.1.1.5 > 172.16.0.33: ICMP echo request, id 1, seq 73, length 40
    09:24:10.482508 IP 10.1.1.5 > 172.16.0.33: ICMP echo request, id 1, seq 74, length 40

    bge0=10.1.1.0/22
    tcpdump -i bge0 dst 172.16.0.33
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on bge0, link-type EN10MB (Ethernet), capture size 96 bytes
    09:25:42.692127 IP 10.1.1.5 > 172.16.0.33: ICMP echo request, id 1, seq 79, length 40
    09:25:47.464109 IP 10.1.1.5 > 172.16.0.33: ICMP echo request, id 1, seq 80, length 40
    09:25:52.471506 IP 10.1.1.5 > 172.16.0.33: ICMP echo request, id 1, seq 81, length 40
    09:25:57.463549 IP 10.1.1.5 > 172.16.0.33: ICMP echo request, id 1, seq 82, length 40



  • O pacote está saindo tranquilamente, mas não volta.

    já verificou as regras de firewall da maquina 172.16.0.33



  • @marcelloc:

    O pacote está saindo tranquilamente, mas não volta.

    já verificou as regras de firewall da maquina 172.16.0.33

    marcelloc…

    o equipamento é um ata...
    pela console do pfsense consigo pingar o equipamento normalmente.
    não consigo da rede 10.1.1.0 para a 172.16.0.0...

    []s



  • Se o pacote vai mas não volta, o problema esta na configuração do ata.

    Ou ele não está com o default gateway correto ou tem regra para não aceitar ping fora da rede local configurada.



  • @marcelloc:

    Se o pacote vai mas não volta, o problema esta na configuração do ata.
    Ou ele não está com o default gateway correto ou tem regra para não aceitar ping fora da rede local configurada.

    Eu realmente estava procurando chifre na cabeça do cavalo.
    Coloquei o pfsense como gateway do ata, e AGORA, deu certo.
    Obrigado marcelloc.
    Por me mostrar o óbvio ululante!!! :)

    []s


Locked