[AYUDA] Problema con enrutamiento MultiWAN - MultiLAN

marny.lopez

MultiWAN - MultiLAN

Saludos a todos, tengo un problema con el enrutamiento de PFSense… el escenario es el siguiente:

WAN1 -> 192.168.1.5
WAN2 -> 192.168.22.5

LAN1 -> 10.10.0.X
LAN2 -> 10.10.0.X
LAN3 -> 10.10.0.X
(la lista sigue hasta tener 8 LANs)

Ahora aqui viene la duda...
**En la pestaña de enrutamiento creo el grupo de las WANs pero al llegar a el paso en el que tengo que crear las reglas en el firewall para redirigir los datos a mi grupo de WAN no se si debo crear una regla para cada una de las interfaces o si simplemente puedo crear una regla flotante que aplique a todas las interfaces?

Si fuese asi, en las reglas flotantes debo seleccionar una direccion (IN/OUT), pero significaria que tengo que crear (por ejemplo) 2 reglas para el protocolo HTTP (una de entrada y una de salida) o estoy equivocado y debo crear una regla nueva por interface?**

Espero que me logren ayudar  :( :( :(

ptt

@marny.lopez:

Saludos a todos, tengo un problema con el enrutamiento de PFSense… el escenario es el siguiente:

LAN1 -> 10.10.0.X
LAN2 -> 10.10.0.X
LAN3 -> 10.10.0.X
(la lista sigue hasta tener 8 LANs)

Tienes todas las "LAN" en el mismo segmento ?

Adjunta, por favor, captura de pantalla de las reglas que tienes en cada LAN

marny.lopez

Hola @ptt

No he creado ninguna de las reglas de las LAN, solo necesito permitir los puertos 53 80 y 443

Si, todas estan en el mismo segmento… todas son subredes....

ptt

Son "interfaces físicas" separadas ?

O te refieres a distintos hosts en una interface (LAN) 10.10.0.2, 10.10.0.3, 10.10.0.4….. 10.10.0.9 ?

marny.lopez

Son interfaces fisicas separadas  :D

ptt

No puedes tener múltiples interfaces en el mismo segmento….

marny.lopez

@ptt:

No puedes tener múltiples interfaces en el mismo segmento….

Las interfaces estan subneteadas de esta manera:

RED                      RANGO                                      BROADCAST
10.0.0.0/18 10.0.0.1 – 10.0.63.254         10.0.63.255
10.0.64.0/18 10.0.64.1 -- 10.0.127.254 10.0.127.255
10.0.128.0/18 10.0.128.1 -- 10.0.191.254 10.0.191.255
10.0.192.0/18 10.0.192.1 -- 10.0.255.254 10.0.255.255
10.1.0.0/18 10.1.0.1 -- 10.1.63.254         10.1.63.255

(el subneteo sigue asi hasta que sean 8 interfaces.....)

Al utilizar solo 1 WAN todo funciona perfecto, pero al utilizar 2 WANs entro en el conflicto de las redes...

ptt

Pues, en cada interface debes tener reglas definidas, permitiendo salida a internet por el "default GW" cierto ?

Pues edita esa/s Regla/s para que utilicen el "GW Group"

marny.lopez

Lo que pasa es que estoy utilizando las reglas flotantes para permitir el trafico de todas las LAN a WAN con estos puertos especificos, por eso viene la pregunta de si puedo utilizar estas mismas reglas, y como las podria utilizar para este proposito o si debo configurarlas en cada una de las interfaces? :)

ptt

Insisto, para que los compañeros puedan entender y orientarte, sería mejor si (muestras) adjuntas capturas de pantalla de la configuración que estás utilizando.

https://forum.pfsense.org/index.php?topic=23265.0

marny.lopez

Apenas pueda adjuntare capturas, lo que pasa es que en este momento no tengo el PFSense en la red en la que me encuentro en este momento, pero creo que me decidire por crear una regla para cada interfaz LAN con los puertos que quiero y enrutando el trafico al GW_GROUP….

Parece que no se puede hacer lo que yo pensaba hacer...

(Utilizar las reglas flotantes para enrutar el trafico de todas las LAN al GW_GROUP)

;D ;D ;D ;D ;D

Muchas Gracias @ptt por tu ayuda en el caso :)

Estare publicando la opcion utilizada en el foro

ZAC

¿entonces como quedo todo?

bellera

@marny.lopez:

Parece que no se puede hacer lo que yo pensaba hacer…

A ver, las diferencias entre una regla floating y una regla en la interfase son:

• La floating se ejecuta antes que las reglas en la interfase.

• La floating tiene sentidos de circulación in/out. La de la interfase es siempre in.

• La floating NO es quick por defecto. La de la interfase es quick por defecto. Una regla quick se ejecuta e impide que se ejecuten las siguientes que estén por debajo de ella.

http://www.openbsd.org/faq/pf/filter.html#quick

En resumen, sí puedes funcionar sólo con reglas floating en modo quick y sentido in.

En cuanto al origen del tráfico, te recomiendo acotarlo a tus subredes de origen. Puedes hacer un alias para indicarlas.

El agrupamiento de puertas también se puede indicar en cualquier regla floating.

No he podido hacer una prueba real de todo pero tendría que ir…

marny.lopez

Muchisimas gracias… He puesto una regla por interfaz para cada protocolo, pero estoy dispuesto a probar esta solucion que me brindas en el caso anterior...

Comento cuando la halla probado como me fue
Saludos