DMZ não acessa Internet [RESOLVIDO]
-
Olá, instalei (v2.2.2) e adicionei as duas regras mostradas na imagem anexa, mas a sub-rede DMZ não acessa a Internet.
É preciso outro ajuste para que a sub-rede DMZ acesse a Internet. Obrigado.
-
Existe rota criada para a rede DMZ?
-
Preciso criar rotas para todas sub-redes, com exceção da LAN?
Onde que faço essa configuração? Obrigado. -
Achei que as duas configurações necessárias para que a DMZ alcance a Internet fossem a regra básica da figura dmz-basic_rules.png e a configuração de NAT da figura dmz-nat_outbound.png
O que tá faltando? Obrigado.
-
Você pode utilizar o NAT Outbount automático, já vai resolver seu problema.
-
Já testei NAT Outbound automático, mas não resolveu.
Também testei habilitar DHCP para a DMZ, que configura como Gateway 10.0.8.1 que é o IP da interface DMZ do pfSense. É preciso especificar outro IP para Gateway dessa sub-rede?
Pra LAN o Gateway é 192.168.1.1 que é o IP da interface LAN do pfSense. Computadores da LAN acessam a Internet.
Pra WLAN ocorre o mesmo comportamento da DMZ.
-
Ativa o automático, reconfigura a interface DMZ, reinicia o pf.
-
Não funcionou. De qualquer forma, obrigado, santeLLo.
Acredito que é um problema elementar porque embora o DHCP pra DMZ esteja funcionando, não é possível ping do pfSense em computador na DMZ e computador da DMZ não ping o endereço IP da DMZ no pfSense.
Anexo figura de parte de teste que realizei.
-
Da um "route print" no cmd do windows e posta aqui o resultado.
-
(computador na LAN - tá funcionando e pfSense consegue ping 192.168.1.2)
Lista de interfaces
15…a4 4e 31 ec 43 a1 ......Microsoft Virtual WiFi Miniport Adapter #4
14...a4 4e 31 ec 43 a1 ......Microsoft Virtual WiFi Miniport Adapter #3
13...a4 4e 31 ec 43 a0 ......Intel(R) Centrino(R) Advanced-N 6205
12...a4 5d 36 2a 67 82 ......Intel(R) Ethernet Connection I217-LM
1...........................Software Loopback Interface 1
22...00 00 00 00 00 00 00 e0 Adaptador do Microsoft ISATAP
20...00 00 00 00 00 00 00 e0 Adaptador do Microsoft ISATAP #2
19...00 00 00 00 00 00 00 e0 Adaptador do Microsoft ISATAP #3
17...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
21...00 00 00 00 00 00 00 e0 Adaptador do Microsoft ISATAP #5Tabela de rotas IPv4
Rotas ativas:
Endere‡o de rede M scara Ender. gateway Interface Custo
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.2 20
127.0.0.0 255.0.0.0 No v¡nculo 127.0.0.1 306
127.0.0.1 255.255.255.255 No v¡nculo 127.0.0.1 306
127.255.255.255 255.255.255.255 No v¡nculo 127.0.0.1 306
192.168.1.0 255.255.255.0 No v¡nculo 192.168.1.2 276
192.168.1.2 255.255.255.255 No v¡nculo 192.168.1.2 276
192.168.1.255 255.255.255.255 No v¡nculo 192.168.1.2 276
224.0.0.0 240.0.0.0 No v¡nculo 127.0.0.1 306
224.0.0.0 240.0.0.0 No v¡nculo 192.168.1.2 276
255.255.255.255 255.255.255.255 No v¡nculo 127.0.0.1 306
255.255.255.255 255.255.255.255 No v¡nculo 192.168.1.2 276Rotas persistentes:
NenhumaTabela de rotas IPv6
Rotas ativas:
Se destino de rede de m‚trica Gateway
12 276 ::/0 fe80::1:1
1 306 ::1/128 No v¡nculo
12 276 fe80::/64 No v¡nculo
12 276 fe80::2497:9e48:bf6d:ba2d/128
No v¡nculo
1 306 ff00::/8 No v¡nculo
12 276 ff00::/8 No v¡nculoRotas persistentes:
Nenhuma(computador na DMZ - NÃO acessa Internet e pfSense NÃO consegue ping 10.0.8.5)
Lista de interfaces
11...00 1e c9 20 72 56 ......Intel(R) 82567LM-3 Gigabit Network Connection
1...........................Software Loopback Interface 1
15...00 00 00 00 00 00 00 e0 Adaptador do Microsoft ISATAP #3Tabela de rotas IPv4
Rotas ativas:
Endere‡o de rede M scara Ender. gateway Interface Custo
0.0.0.0 0.0.0.0 10.0.8.1 10.0.8.5 30
10.0.0.0 255.255.0.0 No v¡nculo 10.0.8.5 286
10.0.8.5 255.255.255.255 No v¡nculo 10.0.8.5 286
10.0.255.255 255.255.255.255 No v¡nculo 10.0.8.5 286
127.0.0.0 255.0.0.0 No v¡nculo 127.0.0.1 306
127.0.0.1 255.255.255.255 No v¡nculo 127.0.0.1 306
127.255.255.255 255.255.255.255 No v¡nculo 127.0.0.1 306
224.0.0.0 240.0.0.0 No v¡nculo 127.0.0.1 306
224.0.0.0 240.0.0.0 No v¡nculo 10.0.8.5 286
255.255.255.255 255.255.255.255 No v¡nculo 127.0.0.1 306
255.255.255.255 255.255.255.255 No v¡nculo 10.0.8.5 286Rotas persistentes:
NenhumaTabela de rotas IPv6
Rotas ativas:
Se destino de rede de m‚trica Gateway
1 306 ::1/128 No v¡nculo
11 286 fe80::/64 No v¡nculo
11 286 fe80::c62:d13f:f2e6:de6e/128
No v¡nculo
1 306 ff00::/8 No v¡nculo
11 286 ff00::/8 No v¡nculoRotas persistentes:
Nenhuma -
Tá faltando rota pra DMZ… (imagem)
Alguém sabe me informar como resolvo isso? Obrigado.
-
O problema de não acessar a Internet ocorre só com DMZ (10.0.8.0/16).
Tanto a LAN (192.168.1.0/24) quanto WLAN (192.168.2.0/24) estão funcionando.
Alguém sabe me informar onde tá o erro? Obrigado.
-
Falha de rota que ocorria, DMZ -> *, era devido modelo de rede.
WAN = 10.0.7.0/16,
DMZ = 10.0.8.0/16então pfSense considerava uma única sub-rede. Não considerava 2 sub-redes.
Alterei a DMZ para 192.168.3.0/24 e o comportamento da rede tá correto: DMZ acessa a Internet.
Precisarei rever o modelo da rede porque estou realizando um teste dentro da LAN de produção que é 10.0.0.0/16
Quando coloquei WAN e DMZ no mesmo espaço da LAN de produção foi para simular os IPs públicos. Os IPs da WAN e DMZ são todos públicos. Então coloquei em 10.0.0.0/16 já que o gateway da LAN de produção é 10.0.0.1.
-
Agora o NAT outbound funcionará corretamente no automático ;D
-
Sim, o problema ocorria devido eu ter configurado duas redes 10.0.0.0/16
O pfSense entendia como uma sub-rede.
Obrigado! Obrigado, santeLLo!