Reglas de NAT



  • Hola,

    Tengo mi wifi con 2 vlan pero sólo una quiero que salga sólo a internet y no pase por mi LAN.


  • Rebel Alliance

    ???

    Podrías explicarte con mas detalle, por favor.

    (algún diagrama, y unas capturas de pantalla de tus configuraciones nos permitirían orientarte mejor).

    Por otro lado, ese tema no lo "manejas/controlas" con NAT, sino con Reglas de FW ;)

    Por aquí tienes un ejemplo de Reglas de FW para una Interface Inalámbrica, con "salida a internet" pero sin acceso a la "LAN"

    https://forum.pfsense.org/index.php?topic=82461.msg452231#msg452231



  • En teoría 2 Vlans no deberían verse, salvo que hagas trunking, por lo que una vlan no debería ver la otra… pero como ya te han sugerido, deberías explicar mejor qué quieres hacer y poner diagrámas, que se explican mejor por sí solos :D

    Saludos.



  • ok, tengo así es como tengo mi red:

    está subneteada por vlan's, la cuál la 45 pertenece a la wifi interna, la 55 a la wifi de invitado mi DHCP en un windows y gateway principal no es mi pfsense si no mi SWCORE dónde tengo definidas mis vlan's,

    esta configuración esta en mi SW principal
    interface Vlan45
    ip dhcp relay information trusted
    ip address 172.18.6.1 255.255.254.0
    ip helper-address 172.18.2.20

    interface Vlan55
    ip dhcp relay information trusted
    ip address 172.18.18.1 255.255.254.0
    ip helper-address 172.18.2.20

    así tengo las ip's:
    172.18.0.1 es mi pfsense mi firewall
    172.18.0.5 mi switch principal y mi default gateway
    172.18.2.20 mi DHCP

    vlan 45 wifi
    vlan 55 wifi-invitado

    así esta en mi switch principal esa ip 172.18.2.20 es del DHCP la cual ya asigna ip de los rangos definidos pero sigo viendo mi red en la vlan 55 que es para la gente los visitantes.

    pongo las pantallas de como agregue la vlan's en el pfsense.



    imagenes.txt



  • Tu problema no lo tienes en pfSense, sino en tu SW que está manejando los segmentos, el pfSense no te va a resolver nada, salvo que una de las wifi la coloques como una DMZ que puedas manejar con pfSense, ṕero mientras tus equipos estén pegados al mismo SW, eso lo debes resolver en el mismo SW, sea configurando bien las VLANs o hacer ACLs en tu SW, habla con tu administrador de redes.

    Tu Red debe ser algo así …

    VLAN1  <------->  SW <------> VLAN2
                                      +
                                      +
                                      +
                                pfSense

    Si todo el trafico pasa por el SW, nada irá al pfSense para controlar, salvo que tengas reglas de enrutamiento en el SW y debe ser al menos capa 3...

    Deberías tener algo como

    Nube----- pfSense----- SW ------LAN (Incluye X-Vlans internas)
                                  +
                                  +
                                  +
                          Wifi Guest

    De esta manera, puedes controlar el tráfico, y evitar que Wifi Guest vaya hacia la LAN.  Tu SW debe ser al menos capa 3

    Saludos.



  • si estas en lo correcto, todo el tráfico lo controla el SW y mi DHCP asigna las ip's, pero el problema es que no puedo sacar la wifi de invitados de ser así como le asigna ip si esta des habilitado el del pfsense además por eso le cree otra vlan,

    <<<<<nube>>>>–-----Pfsense-------<<<sw>>>----vlan's ------- Wifi
                                                                    *                                  *
                                                                    *                                  *
                                                                    *                                  *
                                                                  DHCP                        Wifi - guest

    pongo una imagen de la configuración de las wifi, pero si tienes razón yo creo que se necesita modificar algo en SW que es por donde pasa todo o como muestras habría que sacar de la lan a Guest.

    y si mi SW principal en un cisco catalyst es capa 3.

    Saludos.


    </sw></nube>



  • Tenía razón, todo lo controla el SW, así que para resolver eso debes hacer tus propias ACLs en el Switch Cisco, no es nada del otro mundo, puedes solicitar esa tarea a tu Cisco Boy  ;-)

    Las ACLs en el Sw resolverá tu problema, ahora bien, si pones la WIFI Guest en una "DMZ" (que es lo mejor) puedes manejar el DHCP para ese segmento con el pfSense, y si no quieres, igual puedes hacer que ese segmento WIFI Guest, tenga Acceso desde DMZ –---> LAN( IP_del_DCHP Server)  puerto 67 y 68 UDP solamente... de esa manera, el segmento WIFI Guest podrá llegarle al servidor DHCP solamente y a más ningún otro equipo de la LAN.

    Saludos.



  • ok, me imagine la verdad yo soy el que esta a cargo de esto no soy muy experto en el tema pero creo que lo más fácil y rápido es hacerlo en el SW principal investigo como se hace muchas gracias.


Log in to reply