Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Reglas de NAT

    Scheduled Pinned Locked Moved Español
    8 Posts 3 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      chriscan80
      last edited by

      Hola,

      Tengo mi wifi con 2 vlan pero sólo una quiero que salga sólo a internet y no pase por mi LAN.

      1 Reply Last reply Reply Quote 0
      • pttP
        ptt Rebel Alliance
        last edited by

        ???

        Podrías explicarte con mas detalle, por favor.

        (algún diagrama, y unas capturas de pantalla de tus configuraciones nos permitirían orientarte mejor).

        Por otro lado, ese tema no lo "manejas/controlas" con NAT, sino con Reglas de FW ;)

        Por aquí tienes un ejemplo de Reglas de FW para una Interface Inalámbrica, con "salida a internet" pero sin acceso a la "LAN"

        https://forum.pfsense.org/index.php?topic=82461.msg452231#msg452231

        1 Reply Last reply Reply Quote 0
        • R
          rodria
          last edited by

          En teoría 2 Vlans no deberían verse, salvo que hagas trunking, por lo que una vlan no debería ver la otra… pero como ya te han sugerido, deberías explicar mejor qué quieres hacer y poner diagrámas, que se explican mejor por sí solos :D

          Saludos.

          1 Reply Last reply Reply Quote 0
          • C
            chriscan80
            last edited by

            ok, tengo así es como tengo mi red:

            está subneteada por vlan's, la cuál la 45 pertenece a la wifi interna, la 55 a la wifi de invitado mi DHCP en un windows y gateway principal no es mi pfsense si no mi SWCORE dónde tengo definidas mis vlan's,

            esta configuración esta en mi SW principal
            interface Vlan45
            ip dhcp relay information trusted
            ip address 172.18.6.1 255.255.254.0
            ip helper-address 172.18.2.20

            interface Vlan55
            ip dhcp relay information trusted
            ip address 172.18.18.1 255.255.254.0
            ip helper-address 172.18.2.20

            así tengo las ip's:
            172.18.0.1 es mi pfsense mi firewall
            172.18.0.5 mi switch principal y mi default gateway
            172.18.2.20 mi DHCP

            vlan 45 wifi
            vlan 55 wifi-invitado

            así esta en mi switch principal esa ip 172.18.2.20 es del DHCP la cual ya asigna ip de los rangos definidos pero sigo viendo mi red en la vlan 55 que es para la gente los visitantes.

            pongo las pantallas de como agregue la vlan's en el pfsense.

            pfsense.png
            pfsense.png_thumb
            imagenes.txt

            1 Reply Last reply Reply Quote 0
            • R
              rodria
              last edited by

              Tu problema no lo tienes en pfSense, sino en tu SW que está manejando los segmentos, el pfSense no te va a resolver nada, salvo que una de las wifi la coloques como una DMZ que puedas manejar con pfSense, ṕero mientras tus equipos estén pegados al mismo SW, eso lo debes resolver en el mismo SW, sea configurando bien las VLANs o hacer ACLs en tu SW, habla con tu administrador de redes.

              Tu Red debe ser algo así …

              VLAN1  <------->  SW <------> VLAN2
                                                +
                                                +
                                                +
                                          pfSense

              Si todo el trafico pasa por el SW, nada irá al pfSense para controlar, salvo que tengas reglas de enrutamiento en el SW y debe ser al menos capa 3...

              Deberías tener algo como

              Nube----- pfSense----- SW ------LAN (Incluye X-Vlans internas)
                                            +
                                            +
                                            +
                                    Wifi Guest

              De esta manera, puedes controlar el tráfico, y evitar que Wifi Guest vaya hacia la LAN.  Tu SW debe ser al menos capa 3

              Saludos.

              1 Reply Last reply Reply Quote 0
              • C
                chriscan80
                last edited by

                si estas en lo correcto, todo el tráfico lo controla el SW y mi DHCP asigna las ip's, pero el problema es que no puedo sacar la wifi de invitados de ser así como le asigna ip si esta des habilitado el del pfsense además por eso le cree otra vlan,

                <<<<<nube>>>>–-----Pfsense-------<<<sw>>>----vlan's ------- Wifi
                                                                                *                                  *
                                                                                *                                  *
                                                                                *                                  *
                                                                              DHCP                        Wifi - guest

                pongo una imagen de la configuración de las wifi, pero si tienes razón yo creo que se necesita modificar algo en SW que es por donde pasa todo o como muestras habría que sacar de la lan a Guest.

                y si mi SW principal en un cisco catalyst es capa 3.

                Saludos.

                wifi.png
                wifi.png_thumb</sw></nube>

                1 Reply Last reply Reply Quote 0
                • R
                  rodria
                  last edited by

                  Tenía razón, todo lo controla el SW, así que para resolver eso debes hacer tus propias ACLs en el Switch Cisco, no es nada del otro mundo, puedes solicitar esa tarea a tu Cisco Boy  ;-)

                  Las ACLs en el Sw resolverá tu problema, ahora bien, si pones la WIFI Guest en una "DMZ" (que es lo mejor) puedes manejar el DHCP para ese segmento con el pfSense, y si no quieres, igual puedes hacer que ese segmento WIFI Guest, tenga Acceso desde DMZ –---> LAN( IP_del_DCHP Server)  puerto 67 y 68 UDP solamente... de esa manera, el segmento WIFI Guest podrá llegarle al servidor DHCP solamente y a más ningún otro equipo de la LAN.

                  Saludos.

                  1 Reply Last reply Reply Quote 0
                  • C
                    chriscan80
                    last edited by

                    ok, me imagine la verdad yo soy el que esta a cargo de esto no soy muy experto en el tema pero creo que lo más fácil y rápido es hacerlo en el SW principal investigo como se hace muchas gracias.

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.