Comunicação entre Vlans.



  • Boa tarde.

    Seguinte:

    Tenho em minha rede 9 vlans criadas, com dhcp e tudo mais funcionando.
    Estou tentando fazer a comunicação entre 2 delas (172.16.0.2/21 e 192.168.1.2/20)

    Já tentei criar rules, gambiarras em NAT,  e nada… nenhum trafego passa entre elas.

    Alguem tem alguma luz sobre isto?

    At.te.



  • ja tentou criar uma bridge entre as duas?



  • Ok…uma luz... at.te,

    Vou em Interfaces, (assign), Bridges, coloco as 2 vlans em uma bridge e ativo a interface, correto?

    1- a interface da bridge deve ter um IP fixo, ou pode-se deixar null?
    2- é necessario fazer alguma mudança fisica na rede?

    e a partir deste momento, deveria funcionar ou tem mais algum procedimento?



  • 1- a interface da bridge deve ter um IP fixo, ou pode-se deixar null?

    acredito que nao precisa.. ela so servirá pra ponte entre as duas redes, mais creio que vc irá precisar colocar sua lan tambem para manter o acesso.. nao conheco muito bem o funcionamento nao sei dizer se criando a bridge, irá "isolar" as vlans

    2- é necessario fazer alguma mudança fisica na rede?

    creio que nao



  • pois é.

    Fui em Bridge, criei a bridge com as duas vlans (tag 70 e 80) -> SAVE

    Adicionei e ativei a interface Bridge. (já tentei com e sem IP… com IP, consigo resposta apenas da interface: ex 200.131.29.1)

    Depois de ativada, fui nas Rules, adicionei trocentas regras pra tentar, e nada de acesso  :-\



  • normalmente quando altero algo referente a rede eu faco um reset no states…



  • sim sim… já fiz isto... mas nada. :(



  • @FernandoFreitas:

    Boa tarde.

    Seguinte:

    Tenho em minha rede 9 vlans criadas, com dhcp e tudo mais funcionando.
    Estou tentando fazer a comunicação entre 2 delas (172.16.0.2/21 e 192.168.1.2/20)

    Já tentei criar rules, gambiarras em NAT,  e nada… nenhum trafego passa entre elas.

    Alguem tem alguma luz sobre isto?

    At.te.

    Post todas as redes que vc configurou nas VLANs.  Essas vlans vc criou no pfSense ou em sw L3?



  • Interfaces:

    Lan:  10.2.0.1/16
    vlan10 -> 172.16.10.1/24
    vlan100 -> 172.16.100.1 /24
    vlan20 -> 172.16.20.1/24
    vlan30 -> 172.16.30.1/24
    vlan40 -> 172.16.40.1/24
    vlan50 -> 10.1.0.1/16
    vlan60 -> 172.17.0.1/16
    vlan70 -> 192.168.1.2/20
    vlan80 -> 172.16.0.2/21  (esta ficou 0.2 porque alguma coisa tava puxando o 0.1 e aparecendo conflito no log)

    e as Vlans foram criadas no pfsense… a switch está apenas com as trunck e tags das vlans.



  • Caro Fernando,

    creio que bridge não ira resolver seu caso, pois voce precisará de um roteado para rotear os endereços. Na bridge, voce está transformanda a interface vlan 70 e interface vlan 80 em um switch.

    Um erro encontrado é o conflito de endereço de rede entre as intefaces  vlan50 e lan. A rede da interface vlan50 está sumarizando a rede da interface lan.

    Suponto que voce deseja que um computador A (vlan 70) queria se comunicar com o computador B (vlan 80) e que essa comunicação é usando IP como destino em vez de dns:

    Responda-me o seguinte:

    Computador A
    IP:
    Mask:
    Gateway:

    Computador B
    IP:
    Mask:
    Gateway:

    Aguardamos.

    Att,

    Bruno Pinheiro.



  • @Bruno:

    Computador A
    IP:
    Mask:
    Gateway:

    Computador B
    IP:
    Mask:
    Gateway:

    Computador A
    IP: 192.168.1.127
    Mask: 255.255.240.0
    Gateway: 192.168.1.2

    Computador B
    IP: 172.16.4.103
    Mask: 255.255.248.0
    Gateway: 172.16.0.2



  • Certo, até aqui está tudo certo, vamos para a segunda parte.

    Post aqui os arquivos route.txt, nat.txt, rules.txt. Para isso use os seguintes comandos:

    netstat -rn > route.txt
    
    pfctl -sn > nat.txt
    
    pfctl -sr > rules.txt 
    

    att,

    Bruno Pinheiro.



  • Segue arquivos.

    route.txt
    nat.txt
    rules.txt



  • Lan:  10.1.1.1/24
    vlan10 -> 172.16.10.1/24
    vlan100 -> 172.16.100.1 /24
    vlan20 -> 172.16.20.1/24
    vlan30 -> 172.16.30.1/24
    vlan40 -> 172.16.40.1/24
    vlan50 -> 10.1.1.100/8
    vlan60 -> 172.17.0.1/16
    vlan70 -> 192.168.1.2/20
    vlan80 -> 172.16.0.2/21  (esta ficou 0.2 porque alguma coisa tava puxando o 0.1 e aparecendo conflito no log)

    Têm redes sobrepostas aí, notou isso?



  • @neo_X:

    Têm redes sobrepostas aí, notou isso?

    não tinha…

    mas alterei:

    Lan:  10.2.0.1/16
    vlan50 -> 10.1.0.1/16

    ps: vou corrigir nos outros posts.



  • Rotas ok!
    Rules ok!
    NAT ok!

    vamos isolar o problema agora. Siga os passos abaixo:

    1- Abra duas sessões ssh do pfsense;

    2- Na primeira sessão, execute o seguinte comando:

    tcpdump -ni re0_vlan80 host 172.16.4.103 and host 192.168.1.127 and icmp > log_int_vlan80.txt
    

    3- Na segunda sessão, execute o seguinte comando:

    tcpdump -ni re0_vlan70 host 172.16.4.103 and host 192.168.1.127 and icmp > log_int_vlan70.txt
    

    4- Na maquina 172.16.4.103, execute um ping para 192.168.1.127;

    ping 192.168.1.127 -n 10
    

    5- Na maquina 192.168.1.127, execute um ping para 172.16.4.103;

    ping 172.16.4.103 -n 10
    

    3- De volta aos terminais, pressione a sequencia de teclas Control + C. Post aqui os dois arquivos.

    att,

    Bruno Pinheiro





  • Seu endereçamento de redes não está certo.  Altere o barramento da vlan 80 para /16 ou refaça o cálculo.



  • Executou os dois ping simultâneos :P , tranquilo, consegui entender aqui.

    O endereçamento parece esta correto.

    Fernando, mais um teste para isolar o problema. Faça o seguinte:

    Navegue até "Firewall > Rules > vlan70" e adicione um regra bloqueando protocolo ICMP de any pra any; aplique
    Faça isso na vlan80 também; aplique

    COLOQUE ESSAS REGRAS NO TOPO DE CADA INTERFACE NÃO ESQUEÇA.

    Agora repita os passos anterior, mas dessa vez ping um espere acabar e logo depois pingue o outro.

    @Bruno:

    1- Abra duas sessões ssh do pfsense;

    2- Na primeira sessão, execute o seguinte comando:

    tcpdump -ni re0_vlan80 host 172.16.4.103 and host 192.168.1.127 and icmp > log_int_vlan80.txt
    

    3- Na segunda sessão, execute o seguinte comando:

    tcpdump -ni re0_vlan70 host 172.16.4.103 and host 192.168.1.127 and icmp > log_int_vlan70.txt
    

    4- Na maquina 172.16.4.103, execute um ping para 192.168.1.127;

    ping 192.168.1.127 -n 10
    

    5- Na maquina 192.168.1.127, execute um ping para 172.16.4.103;

    ping 172.16.4.103 -n 10
    

    3- De volta aos terminais, pressione a sequencia de teclas Control + C. Post aqui os dois arquivos.

    aguardo os logs,

    att,

    Bruno Pinheiro