Ayuda, Conectar 2 equipos de segmentos diferentes


  • Que tal compañeros, resulta que mi pfsense 2.0.3, empezó a fallar, y lo tome como pretexto para cambiar a 2.1.3.

    Mi servidor lo utilizo, ademas de firewall, para dar DHCP a 2 redes diferentes, (192.168.2.0 y 192.168.3.0), ademas de  filtrar el internet con Squid y SquidGuard, hasta aqui todo bien, el problema resulta cuando quiero ver por ICMP  desde un equipo (192.168.3.10 netmask 255.255.255.0 gw 192.168.3.1) de la red3 a  un equipo de la red2 (192.168.2.10 netmask 255.255.255.0 - gw 192.168.2.1), con esta configuración, el ping me responde cuando lo hago hacia la interfaz de la otra red, pero del Servidor, en otras palabras, cuando hago ping desde la red3 hasta la interfaz del pfsense 192.168.2.1, me responde, sin embargo no puedo alcanzar al equipo 192.168.2.10, que me esta faltando?, rutas estaticas, Gateways, ????, Gracias por su Ayuda

  • Rebel Alliance

    Adjunta captura de pantalla de las reglas de Firewall de las 2 interfaces con las que tienes "problemas"

    Si haces un "Traceroute" desde un host de la Red 192.168.2.x hacia uno de la Red 192.168.3.x, hasta dónde llegas ?

    La "conexión" entre los 2 segmentos de red es algo que tenias funcionando con la versión 2.0.3 ? o lo implementaste luego de actualizar a la 2.1.3 ?


  • Hola.

    Estos equipos estan en tarjetas de red diferentes ?
    Tienes implementado balanceo en el equipo ?

    Si es que tienes las redes separadas por tarjetas de red o VLANs deberas de agregar en el firewall en las interfaces correspondientes las reglas para dejar pasar el trafico de las redes que quieres permitir.

    es decir, en la interface A trafico de la red A hacia la red B, "pasar" con los puertos o protocolos necesarios. Lo mismo aplica para la otra red (B).

    Me ha pasado con un equipo que tiene alias en la misma interface LAN que cuando se habilita el balanceo o failover , el trafico entre estas redes se va a internet. Sin que esto pasara antes de habilitar el balanceo/failover. Asi que lo que he hecho es agregar una regla al inicio para que unicamente hace "pass" entre el trafico de estas redes. Eso soluciona el problema en mi caso.

    espero te sea de ayuda el comentario.