Como enrutar LAN y LAN1 para que se puedan ver



  • Hola, estoy instalando pfSense 2.1 y he puesto una wan  y dos tarjetas mas que son la LAN i la opta1 para mi la LAN1. Lo que quiero es poder conectarme a equipos desde una red a otra, por ejemplo desde la lan, poder ver un equipo de la lan1.

    He configurado mis reglas asi:
    http://prntscr.com/2pqzub
    http://prntscr.com/2pqzys
    http://prntscr.com/2pr04k

    La NAT no la he tocado porque dicen que no hace falta.

    A las LAN no les he puesto gateway


  • Rebel Alliance

    • Las 2 ultimas reglas de LAN, NO van, ya que tienen como origen LAN1, y Nunca veras trafico de LAN1 originándose en la LAN ;)

    • Las reglas de LAN1 están mal…

    Las reglas las defines en la interface donde se origina el tráfico, y permites, rechazas o bloqueas el destino ;)

    o sea si quieres ir de LAN1 a LAN, tu regla debe tener como origen LAN1 o ANY, y como destino LAN

    para que LAN llegue a LAN1, la regla "Default allow LAN to Any" ya lo permite (no necesitas otra regla)

    Otra cosa, estas utilizando IP6 en tu red ? si no lo estás haciendo, mejor elimina las reglas referidas a IP6

    La imágenes, mejor las adjuntas directamente a tu post (en lugar de usar servidores externos), para hacerlo, abajo en " + Attachments and other options "  tienes la opción "Attach: "



  • Muchas gracias por responder.

    He configurado las reglas de la LAN i la LAN1 de la forma que puedes ver las imagenes, supongo que es como me has dicho sino he entendido mal.


    Habia creado tambien una regla flotante que me dejara hacer ping gracias al protocolo ICMP a las dos LAN desde cualquier origen, nose que falla sinceramente.

    ![Sin título.png](/public/imported_attachments/1/Sin título.png)
    ![Sin título.png_thumb](/public/imported_attachments/1/Sin título.png_thumb)
    ![Sin título1.png](/public/imported_attachments/1/Sin título1.png)
    ![Sin título1.png_thumb](/public/imported_attachments/1/Sin título1.png_thumb)





  • ¿Qué rangos tienes en cada LAN?

    Es decir, ¿qué configuración tiene cada interfase?

    ¿Cómo toman la configuración de red los equipos? ¿Qué tienen como puerta por defecto?



  • Gracias por responder:

    Esta son las IPs, son estaticas.

    vr0 LAN: 192.168.0.xxx /24
    vr1 LAN1: 192.168.1.xxx /24

    No tienen gateway, según he oído no hace falta ponerles.



  • ipconfig /all en un equipo Windows de cada LAN

    o

    nm-tool en un equipo Linux de cada LAN.

    No tienen gateway, según he oído no hace falta ponerles.

    Eso quedó claro. Tus interfases LAN no deben tener puerta. Si la tuvieran, serían WAN. Preguntaba por la puerta en los equipos clientes.



  • En los clientes son las ip de la LAN i LAN1 de mi pfsense

    estos son los ipconfig /all







  • ¿ 192.168.0.7 es la LAN de pfSense ?

    ¿ 192.168.1.12 es la LAN1 de pfSense ?



  • Correcto



  • Raro, raro, raro…

    ¿No habrás puesto rutas estáticas?

    ¿No habrás tocado los NATs?

    ¿No habrás puesto Floating Rules?

    Una instalación inicial es bien sencilla. 2 LAN, una WAN y regla por defecto en las dos LANs que permitan todo.

    Pregunta que se me ocurre ---> ¿Tienen tus Windows algún cortafuegos activado que limiten tus tests a su subred? Prueba a desactivar los cortafuegos, si tienen.



  • Muchas gracias por tu ayuda.

    El NAT no lo  he tocado, había puesto una flotante para permitir ping pero la borre, corta fuegos lo tengo deshabilitado en los dos PC porque leí que podían afectar a la conectividad. Y no, no he puesto ninguna ruta estática.

    Me parece que cambiare las tarjetas de red nose si alguna esta mal y crea algún problema o algo, aun que las dos placas que estan en el pfSense estaban operativas en otros dos PC..

    Sinceramente he estado mirando muchos manuales y probando todo tipo de cosas y nunca consigo nada. He restaurado de fabrica el pfSense ya mil veces.. jajaja



  • Sigue sin ir.. :-\


  • Rebel Alliance

    Si desde una PC en LAN haces un "Trace Route" a la IP de una PC en LAN1, que obtienes ?

    Podrías adjuntar capturas de pantalla de:

    Del Dashboard del pfSense

    Configuración de la interface LAN del pfSense

    Configuración de la interface LAN1 del pfSense

    System –> Routing --> Gateways



  • Gracias por el apoyo.

    Con el tracert se me va al router y del router tiempo de espera agotado, vamos que se queda a dormir ahi.









  • Rebel Alliance

    @adrian.capablo:

    Gracias por el apoyo.

    Con el tracert se me va al router y del router tiempo de espera agotado, vamos que se queda a dormir ahi.

    A que "router" te refieres ?

    Evidentemente hay algo que está faltando ???

    Aunque sea repetitivo, la LAN del pfSense tiene la IP 192.168.0.7 ? La LAN1 del pfSense tiene la IP 192.168.1.12 ?

    En tu pfSense las IP's que utilizas son todas "privadas" no hace falta "enmascararlas"

    Pones como DNS 192.168.0.1, quién tiene esa IP ? ya que veo que la WAN tiene una en el rango 172.16.0.x ….... ???

    Podrías por favor adjuntar un diagrama/esquema de la red, ya que como lo dije anteriormente, algo se está escapando ;)

    Otra cosa, por que no utilizas las IP's 192.168.0.1 y 192.1681.1 para las LAN y LAN1, así queda mas "prolija" tu red



  • Haber, esto es lo que tengo:

    Router172.x.x.x–>wan 172.x.x.x --> Pfsense --> una tarjeta para la LAN 192.168.0.7 i otra para la LAN1 192.168.1.12  Ahora mismo estoy usando dos PC, uno para cada lan.

    El DNS es un DNS propio


  • Rebel Alliance

    Captura de pantalla de: "Diagnostics –> Routes"

    En un instalación (de pfSense) con las configuraciones por default, a la que le agregas una interface, tipo LAN, adicional (en tu caso LAN1)

    Lo UNICO que tendrías que hacer para llegar de un host de la LAN1 a la LAN, es tener una regla que "emule" la "Allow LAN to ANY" o sea, la regla "PASS" en LAN1 sería:

    proto: any

    source: LAN1 Subnet

    Source port range: any

    Destination: any

    Destination port range: any

    Gateway: default

    Con esa regla en LAN1, y con la regla "Allow LAN to ANY" (que esta creada por default) en la LAN, debería poder llegar desede cualquier host de la LAN a cualquier host de la LAN1 y viceversa

    (esto es asumiendo que los host de LAN tengan como GW al pfSense, y los hosts de LAN1 tengan como GW al pfSense)



  • Saludos mi estimado. Estuve leyendo sobre tu inconveniente y me llamo la atencion que el compañero "ptt" te indico que realizaras un trace Router desde una pc cliente en lan hacia una pc cliente en lan1 e indicas que se te va a el router??' Segun entiendo la arquitectura de tu red es "Router" Recibiendo la Ip publica o conexion a internet > Luego Pfsense Recibe del Router la conexion en su Wan y de  alli > posees Lan y Lan1 no??  Creo deberias definir como tienes establecida la red para poderte ayudar el problema esta en el orden de enrutamiento o es lo que muestras y si es asi es sencillo poder resolver esto.



  • Como router me refiero al gateway. amnarl en el tracert es lo que tu dices, y mis dispositivos tambien funcionan como tu dices, del gateway o conexion a internet como tu dices desde la wan va a dar internet al pfsense, y hay dos grupos de cliente LAN i LAN1, cada cliente tiene como puerta de enlace la lan o lan1 dependiendo de que grupo sean, los del grupo de la lan tendran de puerta de enlace lan i los de lan1 la lan1
    Adjunto lo que me pidio ptt




  • Este es el esquema

    ![demostración grafica.png](/public/imported_attachments/1/demostración grafica.png)
    ![demostración grafica.png_thumb](/public/imported_attachments/1/demostración grafica.png_thumb)


  • Rebel Alliance

    En el pfSense:

    Si vas a "Diagnostics –> Ping" seleccionas LAN y le haces ping a la IP de la PC que tienes en LAN, responde ?

    Si vas a "Diagnostics --> Ping" seleccionas LAN1 y le haces ping a la IP de la PC que tienes en LAN1, responde ?

    Si vas a "Diagnostics --> Ping" seleccionas LAN y le haces ping a la IP de la PC que tienes en LAN1, responde ?

    Si vas a "Diagnostics --> Ping" seleccionas LAN1 y le haces ping a la IP de la PC que tienes en LAN, responde ?

    Cambiaste las IP's de LAN a 192.168.0.10 ? y LAN1 a 192.168.1.10 ?



  • De la LAN a cualquier PC de la LAN si funciona, de la LAN1 y a cualquier PC de la LAN1 no.. =| y de LAN1 a la LAN i inversa ya ni hablar..  ,las tarjetas si se pueden ver entre ellas eso si.

    Si cambie las IP para probar. Las reglas siguen estando igual.


  • Rebel Alliance

    Pues entonces tienes un problema en los host's de la LAN 1…. si no llegas desde la LAN1 a los hosts de esa misma red, menos lo harás desde otra interface



  • Deberia estar bien esta configuración, la puerta de enlance del cliente es 192.168.1.10 ya que la Tarjeta de la LAN1 del pfSense es la 192.168.1.10.

    Cuando configure la LAN1, no le puse el gateway, solo mascara i su IPV4, ademas en las reglas de firewall tiene todo permitido esta interface.




  • Se ve que estaban las IP deshabilitadas con las que he probado, ahora estoy con unas en funcionamiento que si dan conectividad pero las LAN siguen sin verse


  • Rebel Alliance

    Sube nuevamente capturas de pantalla de las reglas de FW



  • Nuevas reglas =) gracias por seguir apoyandome! Flotante no tiene ninguna regla y en la wan esta la de "block bogon networks"






  • Admite todo primero… y prueba...

    Proto | Source | Port | Destination | Port | Gateway

    LAN

    • | LAN net | * | * | * | *

    LAN1

    • | LAN1 net | * | * | * | *

    Si no va, prueba añadiendo por delante regla específica para ir a la otra LAN…

    LAN

    • | LAN net | * | LAN1 net | * | *
    • | LAN net | * | * | * | *

    LAN1

    • | LAN1 net | * | LAN net | * | *
    • | LAN1 net | * | * | * | *

  • Rebel Alliance

    Exacto, como lo había recomendado en un post anterior; 2 reglas (1 en cada interface)  permitiendo todo….

    En las reglas de LAN, la segunda regla no es necesaria, y nunca aplicará ya que la "Default allow LAN to Any" aplica a todo el trafico

    En las reglas de LAN1 tienes solo permitido el protocolo TCP, por lo que Nunca pasaran los pings (ICMP), y la segunda regla no tiene sentido....






  • Cambie las reglas a como dice bellera ,sigo sin tener ping entre equipos de diferentes redes





  • Rebel Alliance

    En el pfSense:

    Si vas a "Diagnostics –> Ping" seleccionas "Source Address" --> LAN y le haces ping a la IP de la PC que tienes en LAN, responde ?

    Si vas a "Diagnostics --> Ping" seleccionas "Source Address" --> LAN1 y le haces ping a la IP de la PC que tienes en LAN1, responde ?

    Si vas a "Diagnostics --> Ping" seleccionas "Source Address" --> LAN y le haces ping a la IP de la PC que tienes en LAN1, responde ?

    Si vas a "Diagnostics --> Ping" seleccionas "Source Address" --> LAN1 y le haces ping a la IP de la PC que tienes en LAN, responde ?


    En las imágenes adjuntas puedes ver que SI funciona

    Hay acceso desde un host en LAN (IP 192.168.1.x) a uno en W311U (IP 192.168.0.x) y viceversa.

    Revisa el FW de los Hosts (PC's)

    En las ultima imagen ves a una PC desde el lado LAN llegando (PING) a un Smartphone que está del lado W311U (que es una interface wireless)












  • De la LAN a una ip de host de la LAN correcto

    De la LAN1 a una ip de host de la LAN1 correcto

    Pero de la LAN a una ip de host de la LAN1 no funciona y viceversa tampoco



  • Puede ser problema de hardware?


  • Rebel Alliance

    No creo….

    Comienzo a creer que el problema se encuentra entre el "Teclado" y la "Silla"  :P

    el Firewall de las PC está deshabilitado ? estas 100% seguro

    Si vas a "Diagnostics --> Ping" seleccionas "Source Address" --> LAN y le haces ping a la IP de la PC que tienes en LAN1, responde ?

    Si vas a "Diagnostics --> Ping" seleccionas "Source Address" --> LAN1 y le haces ping a la IP de la PC que tienes en LAN, responde ?

    Si NO responden, es posible que el Firewall de la PC esté bloqueando el tráfico

    Ya que la PC verá el paquete ICMP (Ping) "viniendo" de "otra" subred, y si No tiene permitido eso, pues lo bloqueará



  • @bellera:

    Raro, raro, raro…

    Pregunta que se me ocurre ---> ¿Tienen tus Windows algún cortafuegos activado que limiten tus tests a su subred? Prueba a desactivar los cortafuegos, si tienen.



  • Haha alomejor esta donde tu dices, estoy estudiando fp este año y no tengo demasiada experiencia, soy jovencito tener paciencia haha.

    Con los PC que pruebo tienen el firewall desactivado, si vieras la cantidad de spam que tienen cuando entras en una web te asustas x)

    Y se como van los ping gracias por tu manual x) Y no no responden, donde "Source Addres" pongo LAN y envio a un HOST (PC) de la LAN1 y me aparece
                                Ping output:
    PING 192.168.0.3 (192.168.0.3) from 192.168.1.10: 56 data bytes

    –- 192.168.0.3 ping statistics ---
    3 packets transmitted, 0 packets received, 100.0% packet loss



  • Para que veais que si esta desactivado el firewall




  • Buenas, creo que el problema puede estar en interfaces->LAN y LAN1, en una de las fotos pones en IPv4 address 192.168.0.    /24
    un en la otra LAN 192.168.1.    /24

    creo que eso esa mal entiendo que deberia poner

    192.168.1.12/24
    y
    192.168.0.7/24

    me parece o las ip de los PC estan en manual?



  • donizt si te fijas ese ultimo número esta ocultado con el paint x) pero es obvio cual era la ip



  • Pero muchas gracias por tu atencion =)!