Problemas en creación de Reglas entre diferentes segmentos de red dos PfSenses



  • Buenas compañeros

    Les presento el siguiente problema que tengo a ver si me logran colaborar ya que he venido investigando y no logro resolverlo:

    Este es el siguiente esquema de red :

    Para mi topología cuento con dos pfsense que funcionan solo para Ruteo( PfSense C y Pfsense D) , esto debido a unas complejas Rutas y demás conexiones entre pfsense pero para este ejemplo solo lo voy a representar con dos LAN distintas que se comunican atravez de un enlace de Fibra de nuestro proveedor de ISP .

    En cada LAN existe un Pfsense con el cual instale el squid para la navegación a Internet de los usuarios de cada LAN, el cual funciona como Firewall con reglas y demás( Sitio 1 = Pfsense A y Sitio 2= PfSense B) .

    Este es el problema:

    -Desde mi pfsense A puedo piniar el pfsense C y el pfsense D, pero NO puedo piniar el pfsense B.
    -Desde mi pfsense C puedo piniar el pfsense A y el pfsense D, pero NO puedo piniar el Pfsense B.
    -Desde mi pfsense B puedo piniar el pfsense D y el pfsense C, pero NO puedo piniar el pfsense A.
    -Desde mi pfsense D puedo piniar el pfsense B y el pfsense C, pero NO puedo piniar el pfsense A.

    Estoy seguro que el problema es que el pfsense A y el Pfsense B están como Firewall y debo de crear una regla en la Interfaz LAN de cada uno que permita dejarse ver entre  cada segmento de red, para este caso quiero que:

    -El Pfsense A se pueda piniar desde el segmento 172.16.8.0/24
    -El Pfsense B se pueda piniar desde el segmento 172.16.5.0/24

    Sin embargo hasta ahora las reglas de firewall que creo en mis pfsenses en la interfaz LAN no me funcionan, es decir no se logran ver entre cada pfsenses de Internet.

    Esta es la regla que cree para que el pfsense A se pueda piniar desde el sitio 2 pero no me funciono:

    Proto:    TCP/UDP
    Source:  172.16.8.0/24
    Port:      *
    Destination: LAN net
    Port:            *
    Gateway: 172.16.2.11
    Queue:  none

    Esta regla no me funciona  ya intente de otras manera como intercambiando el SOURCE y el Destino pero de igual forma no logro piniarlo a ver si alguien me instruye con este problema si me hacen el favor.

    Saludos y de ante mano muchas gracias por la ayuda que me puedan brindar.



  • @bcalvo:

    Esta es la regla que cree para que el pfsense A se pueda piniar desde el sitio 2 pero no me funciono:

    Proto:    TCP/UDP
    Source:  172.16.8.0/24
    Port:      *
    Destination: LAN net
    Port:            *
    Gateway: 172.16.2.11
    Queue:  none

    Ojo que, primero los pings son protocolo ICMP y no TCP/UDP.

    Respecto a la regla sobre el pfSense A, en destination deberías poner "LAN address" (para que sea más claro en realidad, ya que ese pfSense no está controlando el tráfico que cae sobre la LAN), y dejar en blanco el "Gateway" (ya que esto es solo para policy based routing saliente desde el dispositivo).

    Ademas, deberias tener una static route (en System, Routing) que rutee toda la subnet 172.16.8.0/24 a través de 172.16.5.11

    Contanos como te fue ;)

    Saludos!



  • Excelente aporte mi amigo es verdad; tienes razón es la costumbre de poner TCP/UDP en las reglas y no me detuve a pensar sobre el funcionamiento.

    Hice la regla a como me lo indicaste y ya puedo piniar los pfsenses de Internet de cada sitio es decir ya todos se ven , sin embargo tengo otra duda:

    • Que regla tendría que crear para que en caso de una emergencia los usuarios del sitio 1 puedan usar el internet del pfsense B (con solo cambiar el proxy) y viceversa es decir que en caso de caída del internet del pfsense B los usuarios del sitio 2 puedan simplemente ponerse el proxy 172.16.5.10:9000 (pfsenseA) y puedan utilizar el internet de ese sitio,  Se que deben de existir la ruta y también los usuarios.

    Te agradezco mucho la ayuda y créame que aprendí mucho con tu aporte, espero que me puedas ayudar con esa duda. Saludos y de antemano la gracias.



  • No creo que sea necesario nada más, si podes hacer ping al A y al B desde la subred opuesta, quiere decir que tenes conectividad, lo demás es la configuración normal de Squid que mencionas.

    Saludos!


Log in to reply