4. Terza LAN non funzionante

Terza LAN non funzionante

  • A

    Ciao a tutti,
    volevo chiedere se c'è qualcuno che può darmi una mano, per un problema che forse è semplice, ma del quale non riesco a venire a capo.

    Ho pfSense 2.0.2 installato su un'appliance che ha 5 schede di rete. Lo uso da parecchio e non mi ha mai dato problemi. La configurazione che utilizzo è molto semplice:

    1° scheda

    • WAN 192.168.1.10/24
      con le regole di default (Block private networks, Block bogon networks)

    2° scheda

    • LAN1 10.1.1.1/8  (con DHCP)
      Anti lockout rule
      Proto: any - Source LAN - Port: any - Destination: any - Port: any

    3° scheda

    • LAN2 172.16.0.1/22 (con DHCP)
      Proto: UDP - Source LAN2 - Port: any - Destination: (my 1mary dns provider) - Port: 53
      Proto: UDP - Source LAN2 - Port: any - Destination: (my 2ndary dns provider) - Port: 53
      Proto: any - Source LAN2 - Port: any - Destination: not LAN - Port: any

    In questo modo con LAN1 posso accedere a internet e a LAN2; con LAN2 solo a internet.
    Ripeto, finora ha funzionato tutto assai bene, compreso l'assegnazione delle leases del DHCP ciascuna alla propria rete.

    Ho tentato di attivare un'ulteriore scheda di rete (LAN3 172.16.4.1/22), con l'intenzione di avere una nuova rete (LAN3), separata dalle precedenti.
    Le impostazioni sono:

    • LAN3 172.16.4.1/22
      Proto: UDP - Source LAN3 - Port: any - Destination: (my 1ry dns provider) - Port: 53
      Proto: UDP - Source LAN3 - Port: any - Destination: (my 2dary dns provider) - Port: 53
      Proto: any - Source LAN3 - Port: any - Destination: any - Port: any

    Qui però cominciano i problemi: non riesco a farla funzionare in nessun modo.
    Preciso: la scheda è funzionante (nel log è UP e risponde al ping di Diagnostics > Ping) ma qualsiasi dispositivo connetto sulla stessa rete non funziona (i led indicano che la connessione è attiva, ma non è possibile effettuare il ping da un indirizzo statico configurato sulla stessa rete).
    Anche se faccio un ping da LAN1, l'indirizzo 172.16.4.1 risponde correttamente.

    Mi viene il dubbio che tutto dipenda dal firewall, ma la regola che ho messo non dovrebbe impedire nulla…
    Il log del Firewall non riporta nulla al riguardo; ho provato anche a mettere l'indicazione: "Log packets that are handled by this rule" su tutte le regole di LAN3, ma non viene riportato nessun messaggio di errore.

    Da cosa può dipendere?
    C'è qualche comando che può aiutare nella diagnosi per capire dove sta il problema?
    Grazie di cuore!

    0
  • F

    Prova a fare questa prova:
    da un pc della LAN 3 pinga in modo continuo (ping -t se usi windows) un pc della LAN 1 e poni la cattura dei pacchetti su pfsense sull'interfaccia della LAN 3 (Diagnostics -> Packet Capture).
    In tal modo vedi se sull'interfaccia della LAN 3 arrivano i pacchetti di icmp request.
    Se non li vedi arrivare, vuol dire che il problema è sulla LAN 3 e non sul firewall.
    Se invece li vedi arrivare, poniti in cattura sull'interfaccia della LAN 1 e controlla se i pacchetti di icmp request escono e se arrivano le risposte, cioè i pacchetti di icmp reply

    Francesco

    0
  • A

    Grazie Francesco.

    1. Ho provato a fare il packet capture del traffico di LAN3 (172.16.4.1) pingando da un pc LAN1 (10.1.1.201), ma non risulta catturato nessun pacchetto, anche se stando sul computer da cui effettuo il ping, la risposta della scheda di pfSense LAN3 appare:

    iMac-di-xyz:~ xyz$ ping 172.16.4.1
    PING 172.16.4.1 (172.16.4.1): 56 data bytes
    64 bytes from 172.16.4.1: icmp_seq=0 ttl=64 time=0.506 ms
    64 bytes from 172.16.4.1: icmp_seq=1 ttl=64 time=0.253 ms
    64 bytes from 172.16.4.1: icmp_seq=2 ttl=64 time=0.419 ms
    64 bytes from 172.16.4.1: icmp_seq=3 ttl=64 time=0.305 ms
    64 bytes from 172.16.4.1: icmp_seq=4 ttl=64 time=0.254 ms

    --- 172.16.4.1 ping statistics ---
    26 packets transmitted, 26 packets received, 0.0% packet loss

    1. Ho provato a fare il packet capture del traffico di LAN1, pingando da LAN3. Qui stavolta ci sono pacchetti che riguardano il resto della rete mentre di LAN3 non c'è traccia. Stando sul pc di LAN3, invece, non risulta la connessione.

    questo è il packet capture:
    16:58:06.642632 IP 10.1.1.201.65534 > 10.1.1.1.443: tcp 0
    16:58:06.735098 IP 10.1.1.201.56023 > 10.1.1.1.53: UDP, length 29
    16:58:06.873034 ARP, Request who-has 10.1.0.170 tell 10.1.0.181, length 46
    16:58:07.698506 IP 10.1.1.1.443 > 10.1.1.201.65534: tcp 1448
    16:58:07.698520 IP 10.1.1.1.443 > 10.1.1.201.65534: tcp 1448
    16:58:07.698529 IP 10.1.1.1.53 > 10.1.1.201.56023: UDP, length 45
    16:58:07.698539 IP 10.1.1.1.443 > 10.1.1.201.65534: tcp 1448
    16:58:07.698669 IP 10.1.1.1.443 > 10.1.1.201.65534: tcp 1448
    16:58:07.698980 IP 10.1.1.201.65534 > 10.1.1.1.443: tcp 0
    16:58:07.699043 IP 10.1.1.1.443 > 10.1.1.201.65534: tcp 1448
    16:58:07.699071 IP 10.1.1.1.443 > 10.1.1.201.65534: tcp 1448
    16:58:07.699092 IP 10.1.1.201.65534 > 10.1.1.1.443: tcp 0
    16:58:07.699132 IP 10.1.1.1.443 > 10.1.1.201.65534: tcp 1448
    16:58:07.699158 IP 10.1.1.201.65534 > 10.1.1.1.443: tcp 0
    16:58:07.699195 IP 10.1.1.1.443 > 10.1.1.201.65534: tcp 1448
    16:58:07.699441 IP 10.1.1.201.65534 > 10.1.1.1.443: tcp 0
    16:58:07.699484 IP 10.1.1.1.443 > 10.1.1.201.65534: tcp 1448
    16:58:07.699513 IP 10.1.1.1.443 > 10.1.1.201.65534: tcp 1448
    16:58:07.699686 IP 10.1.1.201.65534 > 10.1.1.1.443: tcp 0
    16:58:07.699728 IP 10.1.1.1.443 > 10.1.1.201.65534: tcp 1448
    16:58:07.699755 IP 10.1.1.1.443 > 10.1.1.201.65534: tcp 702
    16:58:07.699930 IP 10.1.1.201.65534 > 10.1.1.1.443: tcp 0
    16:58:07.700060 IP 10.1.1.201.65534 > 10.1.1.1.443: tcp 0
    16:58:07.700119 IP 10.1.1.201.65534 > 10.1.1.1.443: tcp 0
    16:58:07.700991 IP 10.1.1.201.65535 > 67.215.65.132.389: tcp 0
    16:58:07.873056 ARP, Request who-has 10.1.0.170 tell 10.1.0.181, length 46

    questo è il ping da un pc di LAN3 con IP statico (172.16.4.4)
    Mac-Book-Pro-xyz:~ xyz$ ping 10.1.1.1
    PING 10.1.1.1 (10.1.1.1): 56 data bytes
    Request timeout for icmp_seq 0
    Request timeout for icmp_seq 1
    Request timeout for icmp_seq 2
    Request timeout for icmp_seq 3
    ping: sendto: No route to host
    Request timeout for icmp_seq 4
    ping: sendto: No route to host
    Request timeout for icmp_seq 5
    ping: sendto: No route to host

    Da cosa dipende?
    Grazie
    alezz

    0
  • F

    Ma siamo sicuri che sulla LAN3 non ci sia un altro 172.16.4.1?

    Prova a scollagare l'interfaccia della LAN3, semplicemente staccando il cavo da PFSENSE, e fai il ping dal pc verso 172.16.4.1.
    Ti risponde qualcuno?

    0
  • F

    …aspe' un attimo.
    Nell'ultimo ping dice " No route to host".

    Ma sul pc con IP statico 172.16.4.4, c'è impostato come default gateway 172.16.4.1?
    Le subnet sono state impostate tutte in modo corretto? Sui pc e su pfsense?

    0
  • M

    E le NAT ? Sono in auto o manual ? :D

    0
Locked
 

Products

Applications

Support

Services

News

Resources

Company

Our Mission

As host of the pfSense open source firewall project, Netgate believes in enhancing network connectivity that maintains both security and privacy. We also believe everyone should be able to afford it.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy