NAT de saida para internet de duas redes distintas.



  • Bom galera, olha eu aqui mais uma vez.

    Segue Cenário atual (desenho1 em anexo):

    PFSENSE (firewall\proxy)  - SW  -> SW Gerenciavel -> Wireless

    |
                                    COMPUTADORES

    OBS - Todos os equipamentos na mesma faixa de rede (ex: 10.0.0.0/24). E o sw gerenciável só faz gerencia da rede wireless, sendo que os dispositivos wireless pegam endereço da mesma faixa de rede.

    Cenário que quero chegar:

    PFSENSE (firewall\proxy)  -> SW Gerenciavel -> Wireless (desenho2 em anexo)

    |
                                                            SW
                                                              |
                                                COMPUTADORES

    Ou seja, com o SW gerenciável pretendo criar VLANs, porém não sei como vou rotear redes distintas para saida para internet.

    Como informou no firewall que as redes 10.0.0.0/24 e 192.168.0.0/24 vão sair para internet?

    Aguardo retorno.






  • Pessoal,

    Alguém tem sugestão?

    Configurei o VLAN TAG no PFSENSE e no switch gerenciável setei uma porta como "trunk" e apontei as VLAN. A dúvida é como liberar internet para ambas as redes e, se eu precisar, como configurar permitir que elas de falem



  • vc crious as vlans no swt e no fw?

    A porta fisica lan nao deve ter ip mas deve manter-se ligada.

    Aqui eu uso isso com 7 redes em vlan, é só abrir a regra para ir a internet. Mole mole, se precisar de ajuda me fala que ja fiz aqui. abs



  • Desde já, obrigado Pedro!

    Respondendo sua pergunta: Criei VLAN no Pfsense e no Switch.

    Nesse momento preciso permitir que ambas as redes se comuniquem. Além disso, a VLAN 1 ,como é a principal, eu consigo acessar o pfsense enquanto a VLAN 100 eu não consigo acesso via WEB.

    Conto com sua ajuda.



  • Pedro,

    O que você quer dizer com: "A porta fisica lan nao deve ter ip mas deve manter-se ligada".



  • certo, vamos la.

    A porta fisica, no meu caso é a lan mesmo, ela nao deve ter ip, deve ficar com "none" no ip configuration, mas deve ficar ativa para deixar passar as vlans por ela.

    Para permitir que ambas as redes se comuniquem é necessario criar regra no firewall para liberar tal acesso. Só de criar, nao funcionará.

    Aproveitando, retirar a vlan 1 do acesso do fw. Colcoa otura vlan pq essa é de gerenciamenteo d diversos dispositivios de rede.



  • Pedro,

    Hoje, eu configurei IP fixo tanto na vlan criada no pfsense quando na mesma vlan criada no switch (Ex: Pfsense Interface VLAN100 192.168.0.1/24 e no Switch , porta trunk, VLAN100 192.168.0.2/24). Acredito que isso não influencie.

    Em anexo, minha interface para que você possa entender melhor (Imagem 1).

    OBS - A VLAN 100 foi criada encima da interface LAN, ou seja, existe uma LAN e uma VLAN usando a mesma placa de rede física.

    Enquanto a configuração as regras de firewall para acesso a rede, é realizada via firewall ou NAT?

    O que seria: "Aproveitando, retirar a vlan 1 do acesso do fw. Coloca outra vlan pq essa é de gerenciamenteo d diversos dispositivios de rede".

    Se possível, postar algumas imagens do seu cenário e\ou caso tenha algum tutorial. Por favor, repassar.




  • A vlan 1 nao deve ser utilizada pq ela é de gerenciamento de swts cisco, hp… e outras coisas. Eu coloco a minha vlan sempre em outra.

    Aqui segue meu cenario

    Segue minhas vlans e minha lan

    Abaixo, segue um exemplo de regra que libera a vlan para a comunicao internamente dentro da mesma e a desativada é um exemplo de comunicacao com outras vlans.

    O processo foi primeiro criar a vlan em interface>vlans, depois associar essa vlan criada a uma interface, interface>assign, nomeia e gera um ip.
    Para facilitar meu gerenciamento as vlans sao associadas de acordo com a 3 faixa de ip. Exemplo 172.16.13.x, logo, vlan 13…. e assim vai, sacou ?

    abs



  • Saquei.

    Na realidade fiz algo semelhante.

    Vou fazer uns testes e ver o resultado.



  • Pedro.

    Só mais um detalhe: Utilize proxy squid e failover nesse mesmo servidor. Sendo assim, como eu faço para incluir todas as VLANs no proxy , exceto uma, passando pelo failover.

    Aguardo retorno.



  • Basta selelcionar as interfaces no proxy, elas aparecem la.

    Ja o failover vc tem que clicar na regra que liberar o trafego para a internett em cada interface e habilitar a aprte de gateway, colocando o grupo do failover.

    abcs!



  • @pedrolima88:

    A vlan 1 nao deve ser utilizada pq ela é de gerenciamento de swts cisco, hp… e outras coisas. Eu coloco a minha vlan sempre em outra.

    Aqui segue meu cenario

    Segue minhas vlans e minha lan

    Abaixo, segue um exemplo de regra que libera a vlan para a comunicao internamente dentro da mesma e a desativada é um exemplo de comunicacao com outras vlans.

    Boa tarde

    O processo foi primeiro criar a vlan em interface>vlans, depois associar essa vlan criada a uma interface, interface>assign, nomeia e gera um ip.
    Para facilitar meu gerenciamento as vlans sao associadas de acordo com a 3 faixa de ip. Exemplo 172.16.13.x, logo, vlan 13…. e assim vai, sacou ?

    abs