[SOLUCIONADO] Problemas para salir por una determinada WAN



  • Hola a tod@s, mi problema es el siguiente:

    Tengo configurado un pfsense 2.2.1 con 3 tarjetas de red: WAN1, WAN2 y LAN. Las WAN's conectadas cada una a un router de fibra, la LAN para la red interna. Tengo configurado squid3 + squidguard.
    Tengo configurado 2 gateways, todo online y sin problemas.

    Tarjeta red LAN: 172.26.0.5
    Tarjeta red WAN1: 192.168.2.2 -> gateway 192.168.2.1
    Tarjeta red WAN2: 192.168.1.2 -> gateway 192.168.1.1
    Tarjeta red WIRELESS: 172.26.1.5 con DHCP activado funcionando sin problemas.

    Hasta aquí todo correcto. El tema es que he añadido otra tarjeta de red WIRELESS a la cual están conectados a través de un switch varias puntos de acceso, lo que quiero es controlar todos los móviles, tablets y portátiles para que salgan por la WAN2 y así aprovechar el segundo router de fibra ya que ahora con el squid configurado no puedo crear MULTIWAN (más adelante instalaré un segundo pfSense o Microtik para el balanceo de carga), de esta forma todo lo que entre por la red WIRELESS desviarlo por la WAN2.

    Tengo creado una regla en la red WIRELESS que permite pasar todo el tráfico, funciona bien siempre y cuando ponga el gateway por defecto, si le digo en la regla que todo lo desvie por el gateway2 (WAN2) no funciona. Ahora si pongo el gateway2 por defecto en system->routing entonces si va la cosa bien y todo sale por el gateway2, pero esto no es o que quiero debido a que sale todo el trafico de las dos redes (LAN y WIRELESS) por el mismo router.

    Espero haberme explicado bien.

    Muchas gracias.



  • ¿Reglas para WIRELESS?



  • La única regla que tengo es:

    IPv4 * * * * * * none

    Si le digo por ejemplo:

    IPv4 * * * * * GW_WAN1  none
    o
    IPv4 * * * * * GW_WAN2  none

    Si especifico un gateway concreto deja de funcionar y los equipos no navegan, sólo funciona si lo dejo por defecto.



  • @MichelR:

    Hola a tod@s, mi problema es el siguiente:

    Tengo configurado un pfsense 2.2.1 con 3 tarjetas de red: WAN1, WAN2 y LAN. Las WAN's conectadas cada una a un router de fibra, la LAN para la red interna. Tengo configurado squid3 + squidguard.
    Tengo configurado 2 gateways, todo online y sin problemas.

    Tarjeta red LAN: 172.26.0.5
    Tarjeta red WAN1: 192.168.2.2 -> gateway 192.168.2.1
    Tarjeta red WAN2: 192.168.1.2 -> gateway 192.168.1.1
    Tarjeta red WIRELESS: 172.26.1.5 con DHCP activado funcionando sin problemas.

    Hasta aquí todo correcto. El tema es que he añadido otra tarjeta de red WIRELESS a la cual están conectados a través de un switch varias puntos de acceso, lo que quiero es controlar todos los móviles, tablets y portátiles para que salgan por la WAN2 y así aprovechar el segundo router de fibra ya que ahora con el squid configurado no puedo crear MULTIWAN (más adelante instalaré un segundo pfSense o Microtik para el balanceo de carga), de esta forma todo lo que entre por la red WIRELESS desviarlo por la WAN2.

    Tengo creado una regla en la red WIRELESS que permite pasar todo el tráfico, funciona bien siempre y cuando ponga el gateway por defecto, si le digo en la regla que todo lo desvie por el gateway2 (WAN2) no funciona. Ahora si pongo el gateway2 por defecto en system->routing entonces si va la cosa bien y todo sale por el gateway2, pero esto no es o que quiero debido a que sale todo el trafico de las dos redes (LAN y WIRELESS) por el mismo router.

    Espero haberme explicado bien.

    Muchas gracias.

    Al crear la regla para el trafico del puerto en la parte de gatdeway selecionar el gatdeway de la wan por donde quieres que salga dicho trafico de ese segmento de red




  • Claro eso hago, si le digo que salga por el gateway1 o el gateway2 los equipos no navegan, si le digo que salga por el gateway que tengo por defecto (sea cualquiera de los dos) entonces si navegan los equipos.

    Si te fijas en mi post anterior verás que tengo la regla que tu indicas.

    No sé si habrá que tocar algo más en system o en algún apartado de la configuración o es algún bug de pfsense 2.2.1.



  • Para la red LAN si funciona, puedo salir por un gateway o por otro indistintamente.

    Las dos redes están exactamente igual configuradas, la única diferencia es que la WIRELESS asigna las direcciones IP mediante el DHCP de pfsense y la LAN las asigna el DHCP de un servidor windows server 2003.
    Pero el DNS es el mismo para las dos.

    He revisado también los puntos de acceso y están bien configurados.



  • si el pfsense recibe ips privadas del lado de las wans hay que deshabilitar la casilla de la interface que evita que reciba trafico de este tipo de redes y de redes no validdas.

    Intenta dar ping desde la interface wan2



  • Hola a todos , yo tengo la misma situación con dos wan conectadas a la caja pfsense y si requiero publicar un servicio como SSH solo lo puedo hacer en la WAN que tengo asignada por default, si establezco en la regla la wan que deseo de puerta de enlace simplemente el servicio no se publica, solamente funciona hasta que establezca el gateway: default.  Mencionar que uso la versión 2.2.2 de pfsense.

    Saludos.



  • Hola de nuevo, parece ser que mi problema es el DNS, la red WIRELESS tiene el rango 172.26.1.0 y la LAN el 172.26.0.0. Mi servidor DNS (windows 2003) tiene la diracción 172.26.0.3, la LAN sale bien con el servidor DNS pero la WIRELESS solo resuelve direcciones si le pongo el gateway por defecto, si especifico una concreto ya no resuelve direcciones poniendo como DNS el interno(172.26.0.3). Si pongo como DNS en el DHCP de la red WIRELESS el de google por ejemplo (8.8.8.8) sin problemas.

    Me parece muy raro, yo entiendo que desde la red WIRELESS (172.26.1.0) se puede alcanzar el servidor DNS que está en la red LAN (172.26.0.0). Las interfaces no se ven por defecto ???



  • Desde siempre, he hecho policy routing en los balanceadores salientes que tienen enrutador detrás, a fin de administrarlos.

    ¿ Lo teneis hecho ?

    Igual es eso lo que provoca el problema.

    Ver imagen.




  • @MichelR:

    Hola de nuevo, parece ser que mi problema es el DNS, la red WIRELESS tiene el rango 172.26.1.0 y la LAN el 172.26.0.0. Mi servidor DNS (windows 2003) tiene la diracción 172.26.0.3, la LAN sale bien con el servidor DNS pero la WIRELESS solo resuelve direcciones si le pongo el gateway por defecto, si especifico una concreto ya no resuelve direcciones poniendo como DNS el interno(172.26.0.3). Si pongo como DNS en el DHCP de la red WIRELESS el de google por ejemplo (8.8.8.8) sin problemas.

    Me parece muy raro, yo entiendo que desde la red WIRELESS (172.26.1.0) se puede alcanzar el servidor DNS que está en la red LAN (172.26.0.0). Las interfaces no se ven por defecto ???

    No. Evidentemente que las subredes no se ven, a menos que pongas reglas para ello.

    Regla en wireless autorizando el destino UDP 172.26.0.3 puerto 53 si quieres que sea tu DNS el que resuelva.

    De todas maneras, por defecto, es DNS Resolver de pfSense quien hace de DNS a los equipos (según DHCP de pfSense):

    https://forum.pfsense.org/index.php?topic=92461.msg512282#msg512282



  • Estas son las reglas en la red WIRELESS:

    IPv4 TCP	WIRELESS net	  *	   LAN net	     *	               *	     none	 
    IPv4 TCP	Servidor	  *	   *	             53 (DNS)          *	     none
    IPv4 *	        *	          *	   *	             *                 GW_WAN2       none
    

    No navego sin pongo como DNS la 172.26.0.3, cosa que si ocurre si pongo como DNS en cualquier equipo los de google por ejemplo.
    En cambio si pongo en la última regla que salga por el gateway por defecto (*) si resuelve mi DNS interno (172.26.0.3)

    Gracias por todo



  • La primera regla te permite llegar a todo lo que esté en LAN desde WIRELESS, pero sólo por TCP. DNS es UDP 53, habitualmente.

    La segunda regla no sé que prentende ser pues Servidor sería un equipo en WIRELESS

    Si Servidor es tu Win2003 la regla debería ser:

    IPv4 UDP	WIRELESS net	  *	   Servidor	     53	               *	     none
    

    Y, evidentemente, cerciorarse de que Win2003 no tiene limitado el acceso dentro de su subred.



  • Claro que ceporro!!! el tráfico dns es UDP!!!

    Vaya tela, lo siento por daros el coñazo y no darme cuenta de una cosa tan básica.

    Muchas gracias a todos y tema resuelto.


Log in to reply