Duda routing entre 2 pfsense por una vlan wan
-
Hola, estoy intentando enlazar 2 pfsense y creo que lo tengo todo bien pero por algun motivo no me funciona, debe ser una tonteria de concepto o que el pfsense lo hace de alguna manera que desconozco, a ver si alguien me puede ayudar:
El proveedor internet por radio me entrega cable wan con 2 vlans, y las defino como wan_internet y wan_vpn (no es para ipsec, le llamos asi para enlazarlo con el otro por esta wan) en el pfsense con sus vlan id's…etc... en el fondo son 2 antenas transparentes.
Pfsense1:
WAN_INTERNET - pppoe ip publica
WAN_VPN - 10.12.13.1/30
LAN -192.168.0.1/24PfSense2:
WAN_INTERNET - pppoe ip publica
WAN_VPN - 10.12.13.2/30
LAN -192.168.10.1/24Rutas que he creado en Static routes:
pfsense1
network - gateway - interface
192.168.10.0/24 - 10.12.13.2 - WAN_VPNpfsense2
network - gateway - interface
192.168.0.0/24 - 10.12.13.1 - WAN_VPN**he desactivado el outbound nat automatico y lo he puesto en manual para que no haga NAT sobre esta interfaz. he creado las reglas outbound nat:
Pfsense1:
Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port DescriptionWAN_MESWIFI 192.168.0.0/24 * * * WAN_INTERNET address * NO internet
WAN_VPN 192.168.0.0/24 * * * WAN_VPN address * NO internetPfsense2:
Igual pero con rango 192.168.10.0/24Cosas que puedo hacer:
- Ping desde LAN pfsense1 hacia 10.12.13.2
- Ping desde LAN pfsense2 hacia 10.12.13.1
Cosas que NO puedo hacer:
- Ping desde LAN pfsense1 hacia LAN pfsens2 y viceversa.
Que hago mal?
Gracias.
Un saludo a todos.
-
Creo que yo lo atacaría de manera diferente.
Crearía la wan por la VLan que te saca a internet .
Para la otra vlan crearía una interface pero sin gateway. Esto anula lo del nat en la 2a interfacePara enrutar el tráfico creamos la regla correspondiente en la la LAN y como gateway le asigno una que creo en el momento con la ip del correspondiente gw.
Lo mismo con el otro pfsense
Espero te sirva -
perfecto, primero he probado con gateways en las vlans de vpn y me ha funcionado, pero luego he pensado que con 3 sedes …que gateway le pongo, y se lo he quitado... ha dejado de funcionar.
Lo he solucionado poniendo una Static Route para que cuando busque el rango de la otra sede vaya al gateway definido para la otra vlan y ya esta... (es así no? )
Hasta ahi bien pero ahora me ocurre una cosa muy rara, a ver si alguien me saca de dudas... Me pasa con varios pc's (diferentes sistemas operativos), routers, etc...
por ejemplo:
Hago ping -t de un pc sede 1 a otro pc sede 2 y no me contesta, pero justo cuando en sede2 hago ping al pc de sede1 empieza a contestar y ya funciona. Funciona todo el rato hasta que paro pings... y al cabo de un buen rato vuelvo a probar y otra vez lo mismo, hasta que del otro lado no busco el pc origen de pings no empieza a responder el origen....
raro no? o es alguna opcion que pueda hacer esto en el pfsense?
gracias.
-
confirmado, cuando desde un lado (cualquiera) hago ping al otro no contesta , pero cuando el destino hace ping al origen empiezan a contestar ambos…sabeis que puede ser?
gracias.
-
Hola,
No importa cuantas redes son .
la idea es que desde el firewall en la interface que genera el trafico agregues una regla al inicio y antes de la regla que saca a internet a todos.
el famoso any to any o lan to any.Algo como
pass source : LAN protocol: any dest_protocol :any destination : lan_remota gw : gw_de_esta_lan ( osea el otro router )
del otro lado seria lo mismo
recuerda que debes de tener dos reglas iguales pero con origenes y destinos que apunten a las redes entre si que quieres comunicar
-
perdon, me falto agregar la red de destino en la regla.
Checa las reglas en los dos servidores.
-
Hola, gracias por la respuesta, pero esto que dices me funciona si en las interfaces tengo el gateway definido hacia la otra sede, y si tengo 3 sedes que gw le pongo? me explico?
al quitarle el gateway funciona solo si añado ruta estatica…. y hasta aqui ningun problema (si se hace así claro...)
El unico problema que me surge ahora es el de la comunicacion, para poder comunirar lan A con lan B debo iniciar en ambos sentidos , es raro no? por ejemplo ping desde lanA a lanB no funciona (lo dejo puesto con -t ), justo cuando desde lanB (mismo pc que busca lanA) hago ping al pc que está originando ping sin funcionar, empieza a contestar a ping i va todo....
-
En el caso de que tengas otra sede, deberás de tener otra interface y otra red interna diferente. La regla solo cambia el destino y el gw.
En relación a lo del ping. Checa si tienes una regla del otro lado que te permita responder a trafico que venga de esa red.
Pega aquí tus pantallas
-
Me respondo a mi mismo por si a alguien les sirve de ayuda…
el tema pings era problema del proveedor, en principio decia que entre las 2 sedes era un bridge transparente pero le faltava activar WDS para que pasara todo transparente o algo así....
Respecto a la configuracion de los pfsense:
1 wan con vlan 10 con puerta enlace para salida internet
1 wan con vlan 20 sin puerta de enlace para enlace otra sede
1 lan1 regla en lan que dice que cuando busque rango otra sede la puerta de enlace sea la wan de la otra sede (vlan 20)
1 ruta estatica con lo mismo.Si alguien ve una chapuza en esta configuacion que me lo diga, pero funciona...
gracias.
-
Asi es como deberia de ser, blepas.