Ruta entre redes
-
Hola Foro:
Si bien llevo algún tiempo trabajando con pfsense; ahora es que me estoy enfrentando a temas sencillos que con un GNU/Linux podría resolver rapidamente; pero con pfsense no se.
Tengo un server 2.2.1-RELEASE (i386) con dos tarjetas de red
WAN- concetada a Internet
LAN- conectada a mi red. (192.168.30.0/24)Por necesidad he tenido que crear dentro de mi red otra numeración IP (10.10.10.0/24)
Ya he creado en mi pfsense una Virtuals IP (10.10.10.1) y desde el mismo hago ping a ambas redes bien.
Ahora quiero que desde mi red 192.168.30.0/24 puedan acceder a los host de 10.10.10.0/24; pero no viceversa. Aquí es donde me pierdo, porque intente crear una ruta
System-> Routing -> Gateways cree un nuevo Gateway
Name: LAN_WATCH
Gateway: 192.168.30.1
Después en la pestaña Routes cree la siguiente ruta:
Destination Net: 10.10.10.0/24
Gateway: Selecciono LAN_WATCHDespués me fuí a Firewall y cree una reglas en Rules, pestaña LAN:
Source: 192.168.30.0/24
Destination: 10.10.10.0/24No creo que haga falta NAT, porque no voy a hacer NAT de nada. Pero aún así no puedo hacer ni ping de las Red 192.168.30.0/24 a la red 10.10.10.0/24
Alguna sugerencia?
-
Hola
Como sugerencia segmentar la red en vlan, y para el tema de comonicar las redes puedes usar rutas estaticas en el menu System: Gateways en routes, ahy puedes publicas tu redes y en las reglas permites el trafico entre ellas.
-
Como sugerencia segmentar la red en vlan,
Tengo que meterme en este tema para poder hacer, porque en pfsense soy muy novato.
y para el tema de comonicar las redes puedes usar rutas estaticas en el menu System: Gateways en routes, ahy puedes publicas tu redes y en las reglas permites el trafico entre ellas.
Esto es precisamente lo que hice, pero no me funciona. Recomienda algún Manual de pfsense para este particular?
-
Si las 2 redes están conectadas directamente al pfSense, No necesitas agregar/configurar Rutas ni GW (en el pfSense)…
En las imágenes adjuntas puedes ver, la IP virtual, y la Regla en LAN que bloquea el acceso desde la red de la VIP a la Red LAN
LAN del pfSense: 192.168.1.254/24
IP Virtual (para el "otro segmento"): 192.168.10.254
El "Windows" está en la LAN (IP 192.168.1.10/24 - GW 192.168.1.254)
El "Debian" está en el "otro" (VIP) segmento (IP 192.168.10.12/24 - GW 192.168.10.254)
Y como puedes ver, los "PING" van desde la red 192.168.1.0/24 a la 192.168.10.0/24 (incluso acceso vía SSH al Debian) pero NO de la red 192.168.10.0/24 a la 192.168.1.0/24
Microsoft Windows [Versión 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Reservados todos los derechos. C:\Users\ptt>ping 192.168.10.12 Haciendo ping a 192.168.10.12 con 32 bytes de datos: Respuesta desde 192.168.10.12: bytes=32 tiempo<1m TTL=63 Respuesta desde 192.168.10.12: bytes=32 tiempo<1m TTL=63 Respuesta desde 192.168.10.12: bytes=32 tiempo<1m TTL=63 Respuesta desde 192.168.10.12: bytes=32 tiempo<1m TTL=63 Estadísticas de ping para 192.168.10.12: Paquetes: enviados = 4, recibidos = 4, perdidos = 0 (0% perdidos), Tiempos aproximados de ida y vuelta en milisegundos: Mínimo = 0ms, Máximo = 0ms, Media = 0ms C:\Users\ptt>tracert 192.168.10.12 Traza a 192.168.10.12 sobre caminos de 30 saltos como máximo. 1 <1 ms <1 ms <1 ms 192.168.1.254 2 <1 ms <1 ms <1 ms 192.168.10.12 Traza completa. C:\Users\ptt>root@debian-vbox:/home/ptt# ifconfig eth0 eth0 Link encap:Ethernet HWaddr 08:00:27:a5:42:f8 inet addr:192.168.10.12 Bcast:192.168.10.255 Mask:255.255.255.0 inet6 addr: fe80::a00:27ff:fea5:42f8/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:195 errors:0 dropped:0 overruns:0 frame:0 TX packets:266 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:33194 (32.4 KiB) TX bytes:33776 (32.9 KiB) root@debian-vbox:/home/ptt# ping 192.168.1.250 PING 192.168.1.250 (192.168.1.250) 56(84) bytes of data. ^C --- 192.168.1.250 ping statistics --- 14 packets transmitted, 0 received, 100% packet loss, time 13103msPersonalmente, por cuestiones de seguridad, NO implementaría mi red de esta manera, sino que agregaría una interface adicional al pfSense (sea Física o mediante VLAN's)
-
En esta imagen, puedes ver al "debían" (192.168.10.12) intentando acceder al menú web de un RB250GS (192.168.1.250), y NO lo puede hacer, ya que está la regla de "Block" en la LAN del pfSense
-
Si se "deshabilita" dicha regla (imagen adjunta) el "Debian" SI puede acceder al menú web del RB250GS (imagen adjunta)
-
@ptt:
Si las 2 redes están conectadas directamente al pfSense, No necesitas agregar/configurar Rutas ni GW (en el pfSense)…
Así tal cual como describes he hecho.
Mi interfaz de red real re2 = 192.168.30.1
Sobre esta cree la Virtual IP = 10.10.10.1El asunto es que quiero que las PC de 192.168.30.x puedan acceder a los 10.10.10.x usan los mismos Swicht.
De hecho desde mi PC = 192.168.30.4 puedo hacer ping al 10.10.10.1, y al 192.168.30.1; pero no puedo hacer ping al 10.10.10.100 por ejemplo.
No tengo regla ninguna en el firewall y ya elimine las rutas que había creado.
@ptt:
Personalmente, por cuestiones de seguridad, NO implementaría mi red de esta manera, sino que agregaría una interface adicional al pfSense (sea Física o mediante VLAN's)
Lamentablemente no tengo a mano una NIC para poner al servidor. Por eso me fui por la variante Virtual IP.
 -
Y la "10.10.10.100" tiene como GW la IP del pfSense (10.10.10.1) ?
Y el FW de "10.10.10.100" permite acceso desde "otra red" (192.168.30.0/24) ?
-
@ptt:
Y la "10.10.10.100" tiene como GW la IP del pfSense (10.10.10.1) ?
Eso no lo se… porque no fui yo quien configuró los equipos, deberé configurar para mañana.
@ptt:
Y el FW de "10.10.10.100" permite acceso desde "otra red" (192.168.30.0/24) ?
Tampoco se, el .100 es un NVR no creo que su SO tenga un Firewall. De igual forma para 10.10.10.x cualquier petición que venga de 192.168.30.x el la reconocerá como 10.10.10.1 o ¿no es así?
-
No, lo verá con la IP original (192.168.30.x), ya que No estás "NATeando"
-
@ptt:
No, lo verá con la IP original (192.168.30.x), ya que No estás "NATeando"
Bueno probaré mañana el tema de poner Gateway en los NVR 10.10.10.x
Gracias!!!
-
Confirmo que al poner el Gateway en los equipos de la red, 10.10.10.x ya se pudo acceder desde mi red 192.168.30.x.
Gracias ptt por la ayuda prestada.
-
De nada ;)
Fíjate si puedes editar el Título del primer post y agregarle: [Resuelto]
