[Resolvido] Pf não sai para internet



  • Ola pessoal venho resumir um problema que não consigo resolver tenho um pf a Wan tem o ip 177.15.196.14/30 e a lan 177.15.66.17/28 a operadora ja liberou o serviço e eu consigo ja pingar no gw 177.15.196.13 esse gw ja esta na nuvem, mais nao consigo pingar na internet 8.8.8.8, fui orientado que o meu fw tem q chegar com ip de lan  e nao de wan, pode ser esse o problema que n acerto, o que posso estar fazendo.



  • Calma ai eu devo esta entendendo errado mais sua wan é /30 sua lan deveria ser /30 acompanhando o endereço de sub rede. acho que na exceção de estar fazendo uma super rede, mais muito raro os casos. Tente mudar o endereço da sua lan para 177.15.66.15/30. ou então você deve estar colocando o endereço errado.



  • Não consegui anexar uma foto da erro aqui na pagina mais esta assim:

    TELEBRAS-GW 177.15.196.13/30–---PRIMARY VLAN ID 2-----177.15.196.14(MEU PFSENSE)-----INTERFACE LAN 177.15.66.16/28
    DESCREVI EXATAMENTE COMO ESTA NO DESENHO, AI PARA GERENCIAR CONECTEI UM NOTEBOOK NA SWITCH COM IP DE LAN FINAL 18 PARA GENRENCIAR O PF Q ESTA COM IP DE LAN FINAL 17. DE DENTRO DO PF NO SHELL PINGO NO GATEWAY DA TELEBRAS FINAL 13 MAIS NAO PINGO NO 8.8.8.8 E NEM OUTRO IP, JA ME ADIANTARAM QUE EU TENHO Q CHEGAR LA COM IP DE LAN E NAO DE WAN.



  • Daniel não entendi ao certo cara, isso que estou é que já misturou vlan no meio.. faz o seguinte poste uns prints de sua configurações e detalhes para ver se posso ajudar. Pq esse seu cenário esta bem difícil de imaginar.



  • Essa rede 177 não é privada? vai usar na LAN (rede interna)?

    Esse rede seria para interfaces WAN;



  • TELEBRAS
    177.15.196.13
    .
    .
    .
        VLAN TAG 2
    .
    .
    .
    PFSENSE
    WAN (RE1) 177.15.196.14/30 GW 177.15.196.13
    LAN (RE0)  177.15.66.16/28

    NÃO SE PREOCUPE COM VLAN, ELA E SO PARA DEIXAR MINHA WAN DO PF NA MESMA REDE DA VLAN DELES, ISTO JA ESTA RESOLVIDO, ESTA AI E A CONFIGURAÇÃO QUE ESTA NO PF APENAS ISSO, JÁ ERA PARA EU SAIR PARA INTERNET, NAO CONSIGO POSTAR PRINT, MAIS NAO TEM MAIS NADA NO PF ALEM DISSO, CREIO QUE O PF JA CRIA A TABELA AUTOMATICA PARA QUE MINHA LAN CONSIGA SAIR…
    EXATAMENTE E PRIVADA SIM, TANTO É QUE A EMPRESA SO ME DEU ESSE POUCO DE IP PARA LAN.



  • Mano porque usar endereço publico para rede interna? você disse que que consegue pingar o 177.15.196.13, ou seja esta conseguindo bater no gateway. O que não entendi ainda foi esse link /28 na lan. Todos os endereços /30 já estão sendo usados.

    Network: 177.15.196.12 /30 Endereço não utilizável  ( rede )     
    First usable: 177.15.196.13 /30 –- Usado para o link Telebras      
    Last usable: 177.15.196.14 / 30 ----- Usado na rede wan      
    Broadcast:   177.15.196.15 / 30 --- Endereço não utilizável (broadcast)

    Aonde esses caras tiraram um /29 ???

    Eu acho que é endereçamento ainda.



  • Questionei a mesma coisa, nao entendo, estou pingando na wan mais eles nao conseguem pingar na minha wan.



  • Até ai tudo bem é só liberar o icmp na wan…



  • Tu sabe mesmo qual é o papel/função de um router?



  • Rotear pacotes e entregar ao seu destino de acordo a sua tabela.



  • Valew pela ajuda  :)



  • Já conseguiu se resolver com as informações que a operadora passou?



  • Opa, ainda não, ja me informei com a operadora e o endereçamento e este mesmo, a rede deles e uma mpls, ja questionei sobre este ip para lan e falaram que tem varios clientes com este endereço, inclusive clientes que tem configurando com ipfw no shell.




  • Como eu já tinha falado, eu configurei a VLAN com tag 2 prq eles tem essa rede dividida com outros clientes, até ai blz não tem segredo, a VLAN foi configurando para interface WAN, consigo pingar no Gateway final 13, mais me informaram que eu so iria conseguir navegar na internet quando eles enxergar a minha LAN la no ambiente deles, e por isso que o ip para lan e publico, ai cab a mim configurar com uma outra placa ou rotear depois com outra classe para ganhar mais ip. a principio so preciso sair para internet.



  • O setup não parece dificil, a operadora passou setup padrão para quem tem um roteador na frente do firewall.

    Você esta tentando configura o firewall incluindo o papel do router. Neste caso você vai ter que se esforçar nas regras de nat para sair com os ips LAN da operadora no lugar dos ips wan.

    Veja se o ip wan informado é capaz de navegar. Outra solução seria configura esses ips LAN em uma dmz do firewall por exemplo.

    Resumindo, se você tiver dois equipamentos (router e/ou firewall) você consegue configurar isso sem maiores problemas.

    Se não tiver, vai ter que aprimorar seus conhecimentos em rede para deixar tudo redondo.

    Se precisar de consultoria, pode me chamar em pvt.



  • Olá Marcello sua dica foi essencial para resolver meu problema, resolvi com uma unica regra de nat e está perfeito. :D



  • Como eu digo quem sabe, que não sabe bate palma. Esse post foi digitados com os pés porque com a mão estou batendo palmas.
    O marcelo como sempre mandando bem ai nas postagens. Mano quando crescer quero ser igual a ti, e você não merece só palmas mais todo o tocantins.



  • @marcosmoya18:

    e você não merece só palmas

    Opa, Obrigado pelas palavras. Tem uns links aqui na minha assinatura que podem ser usados a qualquer tempo e hora :)



  • Cara eu não sou um cara de muita posse. mais esse mês irei fazer uma pequena doação.



  • @marcosmoya18:

    Cara eu não sou um cara de muita posse. mais esse mês irei fazer uma pequena doação.

    Não é o valor em si, mas a vontade em ajudar que conta. Agradeço :)