PFSENSE+LAN+DMZ+VLAN



  • Boa tarde galera,

    Meu cenário:

    3 links WAN
    1 LAN - VLAN 1 default (Todos os switches)
    1 DMZ - VLAN 20

    Switch Core Cisco SG300-28

    Problema

    Preciso liberar o acesso LAN na DMZ
    Fazer os NAT da WAN para DMZ

    Obs.: Alguns hosts membros da DMZ vão ficar no cascateamento do switch core, no caso 3com 2226 baseline

    Dúvida

    Nas configurações do switch core
    A porta do switch que liga no PFSENSE tem que ficar como? Trunk, Access, General? Tagged ou Untagged?
    A interface da DMZ que está na VLAN 20, tem que fazer alguma configuração para que ela esteje nas duas VLAN's tanto a default como a dela (20)?

    Desde já agradeço a atenção.



  • A porta do pfsense pode ficar em trunk ou com as duas vlans tagged.



  • As duas Vlans (1,20) estão na mesma interface física do pfsense?



  • Não, estão em interfaces diferentes…

    O PFSENSE está em cima do vmware, no vmware eu criei 5 interfaces 3 links wan na mesma interface, 1 lan e 1 dmz... lan e dmz vão direto para o switch core, lan (Vlan default 1) e dmz (Vlan 20).



  • Neste caso crie os virtual switches pelo vmare mesmo e entregue as interface sem vlan para o pfsense.



  • Se entendi bem, você tem dois cabos saindo do pfsense para seu switch core (LAN e DMZ), é isso? Nesse caso…

    Switch core:

    • Configure a porta que está conectado o cabo do pfsense DMZ como: VLAN ID: 20 - TAGGET
    • Se você tiver algum PC/SERVER conectado nesse switch core, configure sua respectiva porta como: VLAN ID: 20 - UNTAGGET
    • Do swicth core para outro switch: configure a porta como VLAN ID: 20 - TAGGET (mesma configuração no switch que vai receber essa conexão)
    • No switch em cascata, configure as portas que terão computadores da DMZ: VLAN ID: 20 - UNTAGGET

    Observações:

    • A placa física deve suportar vlans;
    • No vmware configure a interface que você criou com suporte a vlan (Não lembro bem onde faz isso, mas acredito que nas propriedades de cada interface você encontre essa opção, acho que é um dropbox com duas opções: none e ALL(4096)).


  • Ok, valeu pela ajuda…

    Irei fazer os testes e ver como fica.

    Outra coisa para liberar por exemplo - as maquinas da lan acessar via rdp as maquinas da dmz.

    Basta apenas criar a rule que libere esse tipo de conexao na interface lan com destino a dmz. correto? visto que o firewall conhece as duas teria que funcionar normalmente.



  • @andrefp:

    Basta apenas criar a rule que libere esse tipo de conexao na interface lan com destino a dmz. correto?

    Sim.



  • Dackson,

    Fiz os primeiros teste

    Switch core vlan 20 T, com uma estação no mesmo switch com vlan 20 U - não funciona

    Só funciona se os dois estiverem T, ou se os dois estiverem U.



  • @andrefp:

    Só funciona se os dois estiverem T, ou se os dois estiverem U.

    O equipamento que terá mais de uma vlan configurada, fica com a porta no switch em modo trunk ou com todas as vlans que for usar como TAG

    A estação que fará parte da vlan x ou y somente fica com a porta no switch configurada na vlan correta com porta UNTAG.

    Os equipamentos ligados em portas com TAG ou TRUNK precisam estar configurados para usar as vlans X, Y ou Z
    Equipamentos em portas UNTAG não precisam de configuração extra.


Log in to reply