[Solucionado] AYUDA con VLAN
-
Buenas tardes, estoy teniendo problemas con las VLAN en el pfsense, lo estoy configurando por primera vez. Está instalado en una máquina con 1 LAN y 1 WAN. Sobre la que hay creadas 4 VLAN en pfsense. Esta máquina (pfsense) y 3 switches más, están conectados a una controladora WIFI que haces las veces de core. Los Switches no tienen configuración específica, ya que los futuros usuarios de las VLAN no está separados por switches, sino que en la misma boca se puede conectar usuarios distintos.
El problema que no puedo hacer ping a ninguna de las direcciones de las VLAN creadas.
Espero vuestra ayuda, ya que estoy un poco bloqueado. Gracias -
Hola, te dejo unos links de creacion de vlans.
http://networktechnical.blogspot.com.es/2007/04/pfsense-how-to-setup-vlans.html
http://forum.pfsense.org/index.php?topic=40503.0
http://www.slideshare.net/EdgarGuth/vlans-con-una-tarjeta-de-red-en-pfsense -
Muchas gracias, pero ya había visto esos tutoriales. No sé si es porque he asignado las VLAN a la LAN, aunque sinceramente no lo creo. He visto en algunos sitios que lo hacen sobre la WAN. Y en principio NAT y reglas de Firewall están por defecto
-
Ok, tu switch es administrable? Siguiendo estos manuales me ha funcionado.
-
Si, tanto los switches como la controladora son administrables.
-
En este caso no te puedo ayudar mas, en principio con los manuales deberias pasar.
-
Ok, gracias de todas formas.
-
De nada, si esperas algun tiempo te van a responder ptt o bellera :)
-
Estoy teniendo problemas con las VLAN en el pfsense, lo estoy configurando por primera vez. Está instalado en una máquina con 1 LAN y 1 WAN. Sobre la que hay creadas 4 VLAN en pfsense. Esta máquina (pfsense) y 3 switches más, están conectados a una controladora WIFI que haces las veces de core. Los Switches no tienen configuración específica, ya que los futuros usuarios de las VLAN no está separados por switches, sino que en la misma boca se puede conectar usuarios distintos.
El problema que no puedo hacer ping a ninguna de las direcciones de las VLAN creadas.A ver, las VLANs precisan de switches administrables en las que se puedan definir VLAN. Con lo que dices, parece que este no es tu caso, si no entendí mal.
Arriba, en Documentación, tienes buenos tutoriales (de compañeros de este foro) dedicados a VLANs.
El tráfico VLAN va etiquetado y hay que gestionar estas etiquetas en los equipos de conexión (cortafuegos y switches), pues los clientes finales no emplean tráfico etiquetado. Es por esto que no te funciona, a menos que empleases etiquetado en los clientes (cosa poco habitual).
-
La controladora wifi es una DWS de DLIN'K gestionable, y los 3 Switches también lo son. Los tres están conectados mediante el puerto 24 al DWS, y también en este está conectado el pfsense. Aún conectando un equipo directamente al DWS, no veo ninguna de las VLAN, es decir, dejando totalmente de lado los switches. Los que van a los switches y al pfsense están como etiquetado, el resto no. Como comentaba a la LAN y WAN no tengo problemas de hacer ping, pero a las VLAN imposible.
¿Podría realizar alguna prueba de otro tipo, aunque fuese con otra electrónica?
Muchas gracias. -
Es realmente difícil "decir algo" sin ver como tienes la red….
Podrías adjuntar un diagrama de la misma, indicando cómo están conectados lo distintos elementos, además algunas capturas de pantalla de la configuración del pfSense (interfaces, VLANs, Reglas de FW, etc) ayudarían a los compañeros a en tender tu Red y así poder ayudarte....
-
No veo ninguna de las VLAN, es decir, dejando totalmente de lado los switches. Los que van a los switches y al pfsense están como etiquetado, el resto no. Como comentaba a la LAN y WAN no tengo problemas de hacer ping, pero a las VLAN imposible.
La boca del switch que esté conectada a LAN+VLANs tiene que pertenecer a todas las VLANs del switch para que pfSense vea todo el tráfico etiquetado o no en la interfase física LAN+VLANs.
Las VLANs tienen su configuración IP y sus reglas.
En pfSense debes especificar, mediante reglas, que se puede ir de una LAN (VLAN) a otra LAN (VLAN).
En las pestañas Rules debes autorizar el tráfico de un lado a otro. Por defecto no puede haber tráfico.
Haz una regla en LAN que permita todo con destino VLANx y otra en VLANx que permita todo hacia LAN.
En los tutoriales que te cité creo recordar que está todo…
-
Nada, ya había realizado prácticamente todo. De hecho si etiqueto el puerto del switch al pfsense, pierdo la conexión lan. He probado incluido a conectar directamente a LAN un portátil, e intentar hacer ping a las VLAN sin éxito (tampoco se si tendría que responder esto último).
Gracias
-
El puerto que da a la LAN pertenece a todas las VLANs pero no etiqueta tráfico. Justamente debe ser transparente a todos los etiquetados.
-
La verdad es que estoy bastante bloqueado con este lío, ya que en los switches las VLAN no hay ningún problemas, secciona sin problemas, pero no soy capaz de hacer ping o ver los direccionamientos de las VLANs, a no ser perteneciendo a un rango de la LAN.
Muchas gracias por la paciencia y ayuda
-
Postea captura de:
-
Configuración VLANs en el switch
-
Configuración VLANs en pfSense
-
Configuración interfases pfSense
-
Reglas interfases pfSense
Enmascara los datos que puedan ser sensibles, si los hay.
-
-
Lo único que se me ocurre es que el hardware no admita VLAN. El una placa Gigabyte GA-B75N con dos nics, aunque el chip es RTL8111F, que según especificaciones lo soporta, no se me ocurre ninguna otra cosa.
Ayuda por favor. Gracias
-
Postea captura de:
-
Post #1
@ajuser:Buenas tardes, estoy teniendo problemas con las VLAN en el pfsense, lo estoy configurando por primera vez. Está instalado en una máquina con 1 LAN y 1 WAN. Sobre la que hay creadas 4 VLAN en pfsense.
Post #8
Lo único que se me ocurre es que el hardware no admita VLAN.
…...Si las creaste es porque las nic lo soportan,si no puedes crearlas!
pon capturas como te piden. -
Adjunto todas las capturas que me comentas. Pongo el Switch principal y otro conectado a este en el puerto 2. En puertos 2, 22, 23 y 24 están conectados los Switches, y en el puerto 4 el pfsense.
Si lo pongo en TAGGED, no puedo ver desde direccionamiento LAN el pfsense, tengo que ponerlo en UNTAGGED. Como se puede ver también desde direccionamiento LAN, accedo a todas las VLAN, pero cuando cambio a direccionamiento de una de las VLAN, no veo ni a ella misma.
Muchas gracias 09.42.09.jpg)
 09.42.09.jpg_thumb)
 08.40.21.jpg)
 08.40.21.jpg_thumb)
 09.41.03.jpg)
 09.41.03.jpg_thumb)
 09.47.52.jpg)
 09.47.52.jpg_thumb)
 09.47.19.jpg)
 09.47.19.jpg_thumb)
 09.41.16.jpg)
 09.41.16.jpg_thumb)
 09.42.48.jpg)
 09.42.48.jpg_thumb)
 08.42.07.jpg)
 08.42.07.jpg_thumb) -
VLAN 1 (default) no debe etiquetarse. Se trata de la NO-VLAN, es decir, los equipos que trabajan sin etiquetado VLAN.
https://doc.pfsense.org/index.php/Multi-WAN_using_VLANs_with_pfSense
don’t use vlan1 usually dedicated to switch
-
Postea captura de:
-
Configuración VLANs en el switch
-
Configuración VLANs en pfSense
-
Configuración interfases pfSense
-
Reglas interfases pfSense
Enmascara los datos que puedan ser sensibles, si los hay.
No veo configuración ni reglas de las interfases. Hay imágenes borrosas, ilegibles.
-
-
Perdón, te detallo de todas formas, las VLAN (dirección) está en la 192.168.10.1, la LAN en 192.168.100.50 (pfsense) y la WAN por DHCP. Ahora mismo no hay configuraciones prácticamente, sólo las necesarias para salir a Internet.
Te detallo solo la VLAN de dirección, ya que el resto tienen la misma configuración para las redes 192.168.x.1, siendo x valores de 20, 30, 40 y 50.
Dime si son las capturas que me pedías y si las ves bien.Gracias nuevamente
 10.51.58.jpg)
 10.51.58.jpg_thumb)
 10.52.14.jpg)
 10.52.14.jpg_thumb)
 10.52.22.jpg)
 10.52.22.jpg_thumb)
 10.53.17.jpg)
 10.53.17.jpg_thumb)
 10.53.52.jpg)
 10.53.52.jpg_thumb) -
Adjunto todas las capturas que me comentas. Pongo el Switch principal y otro conectado a este en el puerto 2. En puertos 2, 22, 23 y 24 están conectados los Switches, y en el puerto 4 el pfsense.
Si lo pongo en TAGGED, no puedo ver desde direccionamiento LAN el pfsense, tengo que ponerlo en UNTAGGED. Como se puede ver también desde direccionamiento LAN, accedo a todas las VLAN, pero cuando cambio a direccionamiento de una de las VLAN, no veo ni a ella misma.
Muchas graciasOlvidate de la LAN!
Tienes una WAN y una LAN,en la cual creaste VLANs para conectar un switch.
La Lan no la vas a utilizar mas,solo si desconectas el switch y conectas un pc directamente al pfsense.La WAN por DHCP no puede estar en 192.168.100.X o 192.168.10.x o cualquier otro segmento que coincida con las VLANs.
No uses el DHCP del switch para las VLANs
El puerto 4 del switch,(donde esta conectado pfsense)esta configurado como TRUNK y Tagged?
Estará correcta la configuración PVID no es lo mismo que VID
Que modelo es el switch D-Link conectado al pfsense?
-
El switch en el que se conecta el pfsense (y los otros 4 switches) es un DLINK DWS-3160-24TC (el resto son DGS-1210-28P en los puertos 2, 22, 23 y 24 del anterior).
Los son de capa 2, con lo que no tienen DHCP, de hecho las pruebas para los accesos las estoy haciendo desde máquina con ip manual. La WAN está en el rango 192.168.1.0/24. Y la LAN es la que tengo conectada en el puerto 4, la WAN va directamente al router del operador.
El switch tiene la VLAN default todo en UNTAGGED, y las VLANs creadas todas con puertos TAGGED en el 2, 4, 22, 23 y 24. El resto de switch en TAGGED en los puertos que se conectan al DWS-3160-24TC. He probado con TRUNK, aunque no es necesario para que funcionase. Los PVID corresponden a cada VLAN creada según el puerto al que pertenecen.
Si te hace falta más información, dímelo.Gracias
-
Yo uso un L2 serie 3 de TP-Link,no puede haber mucha diferencia en las configuraciones….
El puerto de switch donde pfsense esta conectado si o si tiene que ser TRUNK y TAGGED
las demas VID no tienen porque ser TAGGED pero si o si tienen que ser miembro de TRUNK
Ejemplo:
La VID 20 llamada ADM es el puerto 2 UNTAGGED,pero también es miembro del puerto 1 que es TRUNK y TAGGED
Aca se puede ver que todas las VLANs tienen como miembro al puerto 1(TRUNK)
-
Según veo tu configuración tienes VLAN asimétricas, no?
-
si y funciona de maravilla
un video de lo mismo con un switch D-Link
http://www.youtube.com/watch?v=Ll0ZQD77NSM
-
¿Tendría que poner asimétrica todos los switches, o sólo el que está conectado al pfsense (recuerda la configuración que tengo)?
-
Soluciona el problema con el switch principal,luego tu decides,las VLANs creadas puedes usarlas en los otros switches
tienes que agregar otro puerto trunk tagged para comunicarlos.
-pero configura el switch principal primero…
-cuando puedas remplaza la realtek con una intel! -
Perdón, te detallo de todas formas, las VLAN (dirección) está en la 192.168.10.1, la LAN en 192.168.100.50 (pfsense) y la WAN por DHCP. Ahora mismo no hay configuraciones prácticamente, sólo las necesarias para salir a Internet.
Te detallo solo la VLAN de dirección, ya que el resto tienen la misma configuración para las redes 192.168.x.1, siendo x valores de 20, 30, 40 y 50.
Dime si son las capturas que me pedías y si las ves bien.Gracias nuevamente
Las reglas que tienes son insuficientes.
La regla "por defecto" con origen una LAN net cualquier destino es para ir a internet. No sirve para comunicar entre LANs de pfSense.
Tienes que añadir, por delante de la regla por defecto una que tenga por origen LAN net y destino VLAN100 net (EJEMPLO). Esto te permitirá ir de LAN net a VLAN100 net. Y, al revés, de VLAN100 net a LAN net.
Esto, para las pruebas. Después (más tarde, deshabilitando estas reglas por defecto) tienes que acotar qué quieres dejar pasar de un lado a otro. Piensa que siempre "manda" el tráfico "origen". Es decir, si LAN net es, por ejemplo, la red más segura puede que interese dejar ir a VLAN100 net sin restricciones pero no al revés.
Mírate algún tutorial básico con varias redes. Arriba, en Documentación, los tenemos.
-
Independientemente de las VLANs configuradas en los switches, ahora mismo estoy con un cable cruzado en la LAN del pfsense, a la dirección del pfsense (192.168.100.50) accedo sin ningún problemas. ¿Se supone que tendría que acceder también si configuro el equipo con un direccionamiento de VLAN (por ejemplo 192.168.10.X) a la dirección 192.168.10.1?
Es que creo que el problema va a estar por ahí.
Gracias -
Si vas a poder acceder sin problemas,desde mi VLAN ADM accedo al pfbox,switch,AP,Impresora de red,modem adsl.
Si no tienes porque llegar a 192.168.100.50 para el gui.
Si la VLAN va a ser 192.168.10.1/24,tienes el gui en 192.168.10.1 -
La regla "por defecto" con origen una LAN net cualquier destino es para ir a internet. No sirve para comunicar entre LANs de pfSense.
Mmmm, la regla for defecto es de "source: LAN net, destination: any". Esto permite el tráfico desde la LAN hacia cualquier destino que sea ruteable, incluyendo el mismo pfSense, otras LANs, VLANs o internet. O me perdí de algo en el medio??
Saludos!
-
Si comprobaste que es así, entonces estoy equivocado.
En las versiones 1.x había que hacerlo así. No recuerdo por qué.
Igual en esas versiones no venía la regla default. O adquirí la costumbre de no emplearla.
Tendría que probar con una instalación multiLAN y versión 2.1 que no estuviera en producción…
-
Muchas gracias a todos, al final la mayor parte del problema eran las VLAN por defecto que trae los switches. No se podían eliminar lo deshabilitar porque entonces no operaban bien, pero sí había que poner todas las conexiones de estás VLANs en TAGGED sobre los puertos implicados (pfsense, switches y controladora), el resto como NOT MEMBER. No necesito de momento el poner las VLANs asimétricas. Quizás en un futuro.
Nuevamente muchas gracias a TODOS, ya que sin este apoyo hubiese sido muchísimo más difícil.
-
Me alegro que pudiste solucionar!
Por favor edita el titulo y agrega (Solucionado) o (Resuelto) delante de "Ayuda con VLAN"
Saludos.
-
Supongo que te refieres al título del primer post. Pero no se cómo modificarlo.
-
Después de cierto tiempo No es posible Editar el Post / Titulo, pero puedes solicitar al Moderador que lo haga…... ;)
-
Ok, hecho…
