4. [AYUDA] Problema con enrutamiento MultiWAN - MultiLAN

[AYUDA] Problema con enrutamiento MultiWAN - MultiLAN

  • M

    MultiWAN - MultiLAN

    Saludos a todos, tengo un problema con el enrutamiento de PFSense… el escenario es el siguiente:

    WAN1 -> 192.168.1.5
    WAN2 -> 192.168.22.5

    LAN1 -> 10.10.0.X
    LAN2 -> 10.10.0.X
    LAN3 -> 10.10.0.X
    (la lista sigue hasta tener 8 LANs)

    Ahora aqui viene la duda...
    **En la pestaña de enrutamiento creo el grupo de las WANs pero al llegar a el paso en el que tengo que crear las reglas en el firewall para redirigir los datos a mi grupo de WAN no se si debo crear una regla para cada una de las interfaces o si simplemente puedo crear una regla flotante que aplique a todas las interfaces?

    Si fuese asi, en las reglas flotantes debo seleccionar una direccion (IN/OUT), pero significaria que tengo que crear (por ejemplo) 2 reglas para el protocolo HTTP (una de entrada y una de salida) o estoy equivocado y debo crear una regla nueva por interface?**

    Espero que me logren ayudar  :( :( :(

    0
  • Rebel Alliance

    @marny.lopez:

    Saludos a todos, tengo un problema con el enrutamiento de PFSense… el escenario es el siguiente:

    LAN1 -> 10.10.0.X
    LAN2 -> 10.10.0.X
    LAN3 -> 10.10.0.X
    (la lista sigue hasta tener 8 LANs)

    Tienes todas las "LAN" en el mismo segmento ?

    Adjunta, por favor, captura de pantalla de las reglas que tienes en cada LAN

    0
  • M

    Hola @ptt

    No he creado ninguna de las reglas de las LAN, solo necesito permitir los puertos 53 80 y 443

    Si, todas estan en el mismo segmento… todas son subredes....

    0
  • Rebel Alliance

    Son "interfaces físicas" separadas ?

    O te refieres a distintos hosts en una interface (LAN) 10.10.0.2, 10.10.0.3, 10.10.0.4….. 10.10.0.9 ?

    0
  • M

    Son interfaces fisicas separadas  :D

    0
  • Rebel Alliance

    No puedes tener múltiples interfaces en el mismo segmento….

    0
  • M

    @ptt:

    No puedes tener múltiples interfaces en el mismo segmento….

    Las interfaces estan subneteadas de esta manera:

    RED                      RANGO                                      BROADCAST
    10.0.0.0/18 10.0.0.1 – 10.0.63.254         10.0.63.255
    10.0.64.0/18 10.0.64.1 -- 10.0.127.254 10.0.127.255
    10.0.128.0/18 10.0.128.1 -- 10.0.191.254 10.0.191.255
    10.0.192.0/18 10.0.192.1 -- 10.0.255.254 10.0.255.255
    10.1.0.0/18 10.1.0.1 -- 10.1.63.254         10.1.63.255

    (el subneteo sigue asi hasta que sean 8 interfaces.....)

    Al utilizar solo 1 WAN todo funciona perfecto, pero al utilizar 2 WANs entro en el conflicto de las redes...

    0
  • Rebel Alliance

    Pues, en cada interface debes tener reglas definidas, permitiendo salida a internet por el "default GW" cierto ?

    Pues edita esa/s Regla/s para que utilicen el "GW Group"

    0
  • M

    Lo que pasa es que estoy utilizando las reglas flotantes para permitir el trafico de todas las LAN a WAN con estos puertos especificos, por eso viene la pregunta de si puedo utilizar estas mismas reglas, y como las podria utilizar para este proposito o si debo configurarlas en cada una de las interfaces? :)

    0
  • Rebel Alliance

    Insisto, para que los compañeros puedan entender y orientarte, sería mejor si (muestras) adjuntas capturas de pantalla de la configuración que estás utilizando.

    https://forum.pfsense.org/index.php?topic=23265.0

    0
  • M

    Apenas pueda adjuntare capturas, lo que pasa es que en este momento no tengo el PFSense en la red en la que me encuentro en este momento, pero creo que me decidire por crear una regla para cada interfaz LAN con los puertos que quiero y enrutando el trafico al GW_GROUP….

    Parece que no se puede hacer lo que yo pensaba hacer...

    (Utilizar las reglas flotantes para enrutar el trafico de todas las LAN al GW_GROUP)

    ;D ;D ;D ;D ;D

    Muchas Gracias @ptt por tu ayuda en el caso :)

    Estare publicando la opcion utilizada en el foro

    0

  • ¿entonces como quedo todo?

    0

  • @marny.lopez:

    Parece que no se puede hacer lo que yo pensaba hacer…

    A ver, las diferencias entre una regla floating y una regla en la interfase son:

    • La floating se ejecuta antes que las reglas en la interfase.

    • La floating tiene sentidos de circulación in/out. La de la interfase es siempre in.

    • La floating NO es quick por defecto. La de la interfase es quick por defecto. Una regla quick se ejecuta e impide que se ejecuten las siguientes que estén por debajo de ella.

    http://www.openbsd.org/faq/pf/filter.html#quick

    En resumen, sí puedes funcionar sólo con reglas floating en modo quick y sentido in.

    En cuanto al origen del tráfico, te recomiendo acotarlo a tus subredes de origen. Puedes hacer un alias para indicarlas.

    El agrupamiento de puertas también se puede indicar en cualquier regla floating.

    No he podido hacer una prueba real de todo pero tendría que ir…

    0
  • M

    Muchisimas gracias… He puesto una regla por interfaz para cada protocolo, pero estoy dispuesto a probar esta solucion que me brindas en el caso anterior...

    Comento cuando la halla probado como me fue
    Saludos

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© 2020 Rubicon Communications, LLC | Privacy Policy