[solucionado]Prioblemas Al asignar IP Publicas a distintos segmentos de red

jlaguilar

Hola amigos,

Tengo poco de instalar este producto pero me han surgido algunos problemas, espero me puedan apoyar a resolverlos.

Les pongo como esta el panorama.

Tengo 3 segmentos de red
Datos (192.168.1.0/24)
Voz (192.168.2.0/24)
Seguridad (192.168.3.0/24)

Mi puerta de salida es 192.168.1.1

Se configura el PFSENSE
Lan 192.168.1.1
Wan xxx.xxx.150.256
WanGateway xxx.xxx.150.255
DNS 8.8.8.8

Hasta ahí todo funciona correctamente, el segmento de red de datos salen a Internet sin problemas;

– Aquí vienen las configuraciones especiales
Se cuenta con un Router que hace conexión a otro sitio Datos2 (175.23.2.2) el cual debe tener acceso a los 3 segmentos por tal motivo el Router tiene configurado los 3 segmentos y quedando como puerta de salida para los segmentos de VOZ y de SEGURIDAD de la siguiente manera.
IP Router : 192.168.3.1
192.168.2.1
192.168.1.3

Se agrega en el PFSense un nuevo GateWay 192.168.2.3 y se configuran los “Static Routes” desde Routings
Network : 175.23.2.0/24 -> Gateway: 192.168.2.3 -> Interface: LAN - > Description: Sitio Datos2
Network : 192.168.1.0/24 -> Gateway: 192.168.2.3 -> Interface: LAN - > Description: Sitio Datos2
Network : 192.168.2.0/24 -> Gateway: 192.168.2.3 -> Interface: LAN - > Description: Sitio Datos2
Network : 1 192.168.3.0/24 -> Gateway: 192.168.2.3 -> Interface: LAN - > Description: Sitio Datos2

Hasta ahora todo fabuloso, funciona todo, desde el sitio remoto se ven las IP´s sin problemas y viceversa.

Se asigna una IP Publica xxx.xxx.150.257 a un equipo del segmento de datos la cual queda a la IP LAN 192.168.1.2

Los pasos que seguí fueron:
Entre a Virtual IP y agregue
Type: IP Alias
Interface: WAN
IP Address(es): xxx.xxx.150.257
Description: TS-Server

Agregar Nueva Regla (Solo escribiré los campos que surtieron efecto todos los demás quedan por defecto)
Interface: WAN
Protocol: TCP
Destination: (type) xxx.xxx.150.257 (TS-Server)
Redirect target IP: 192.168.1.2
Redirect target port: MS RDP
Description: Valores Varios
NAT reflection: User System Default
Filter rule association: Rule NAT Valores Varios

Vemos que se crea nuevas reglas (Rules)

Proto: IPv4 TCP
Source: *
Port: *
Destination: 192.168.1.2
Port: 3389 (MS RDP)
Gateway: *
Queue: *

Esto funciona sin problema ahí todo “OK”, todo esto lo doy a conocer para que se vea toda la configuración que se tiene, así mismo mencionar que antes que pusiera este Firewall se encontraba funcionando otro llamado FORTINET el funcionaba sin ningún problema (bueno solo las licencias por eso el cambio) y se esta intentando hacer las mismas configuraciones que en su momento tenia el equipo anterior.

Bueno ahora se necesita que un equipo del segmento de seguridad se le asigne una IP Publica la cual se procede hacer lo mismo.

Se asigna una IP Publica xxx.xxx.150.258 a un equipo del segmento de datos la cual queda a la IP LAN 192.168.3.5

Los pasos que seguí fueron:
Entre a Virtual IP y agregue
Type: IP Alias
Interface: WAN
IP Address(es): xxx.xxx.150.258
Description: Camaras

Agregar Nueva Regla (Solo escribiré los campos que surtieron efecto todos los demás quedan por defecto)
Interface: WAN
Protocol: TCP
Destination: (type) xxx.xxx.150.258 (Camaras)
Redirect target IP: 192.168.3.5
Redirect target port: HTTP
Description: Valores Varios
NAT reflection: User System Default
Filter rule association: Rule NAT Valores Varios

Vemos que se crea nuevas reglas (Rules)

Proto: IPv4 TCP
Source: *
Port: *
Destination: 192.168.3.5
Port: 80 (HTTP)
Gateway: *
Queue: *

Aquí esta el problema, ya que no esta funcionando, desde la LAN si puedo acceder a ese equipo con el puerto 80 pero desde afuera no, ya he intentado configurando el ICMP para que me pueda contestar el ping desde afuera, ya que desde la LAN está funcionando bien si contestan entre segmentos Datos-> Seguridad.

¿Me podrían ayudar como solucionar este problema?
Tan solo que me conteste el ping desde afuera yo ya haría todo lo demas.

Nota: en el Router 192.168.1.3 no se realizó ningún cambio ya que con el otro equipo estaba funcionando correctamente.

Agradeciendo de antemano su apoyo quedo a espera de sus respuestas

saludos
![Diagrama Red.jpg](/public/imported_attachments/1/Diagrama Red.jpg)
![Diagrama Red.jpg_thumb](/public/imported_attachments/1/Diagrama Red.jpg_thumb)

acriollo

Hola , tengo dudas por que estas rutas estan dadas de alta en el PFSense

Network : 192.168.1.0/24 -> Gateway: 192.168.2.3 -> Interface: LAN - > Description: Sitio Datos2
Network : 192.168.2.0/24 -> Gateway: 192.168.2.3 -> Interface: LAN - > Description: Sitio Datos2
Network : 1 192.168.3.0/24 -> Gateway: 192.168.2.3 -> Interface: LAN - > Description: Sitio Datos2

Estas redes están declaradas en el PFSense como locales , por lo que no se requiere que las rutas esten declaradas, mas que en el otro router.

Ahora, para que las redes adicionales a la LAN puedan tener trafico hacia internet deberas de hacer los cambios en el NAT para que PFsense haga nat de estas redes tambien.

Espero te ayude esto.

saludos

jlaguilar

Hola agradeciendo tu respuesta acrillo.

oops me equivoque y agrege en esta explicación la direccion
~~Network : 192.168.1.0/24 -> Gateway: 192.168.2.3 -> Interface: LAN - > Description: Sitio Datos2~~
esta no va lo siento …

Network : 192.168.2.0/24 -> Gateway: 192.168.2.3 -> Interface: LAN - > Description: Sitio Datos2
Network : 192.168.3.0/24 -> Gateway: 192.168.2.3 -> Interface: LAN - > Description: Sitio Datos2
pero bueno, se agregaron estas rutas por que los segmentos de voz tienen su puerta de salida al 192.168.2.1 que es un equipo Cisco y esa deben ser alcanzable desde los datos (192.168.1.0/24) por eso se enruta que todo el segmento da datos que requiera informacion del segmento de voz se diriga al equipo Cisco (192.168.2.3) y no se pude cambiar la puerta de salida por que ese equipo Cisco es el Conmutador (CallManager).

esto mismo esta para los segmentos de seguridad (192.168.3.0/24) aunque a estos si podria cambiarles la puerta de salida.

quedo a espera de cualqueir comentario

saludos

acriollo

Entiendo.

has revisado el tema del NAT para las redes adicionales ? has revisado que el equipo que estas tratando de acceder tiene correctamente configurada la puerta de enlace ?

saludos

jlaguilar

Hola acriollo,

Si, como te comentaba Actualmente esta direccionado a la puerta 192.168.3.1 que la tiene el Cisco 192.168.0.3 y contiene IP secundarias (192.168.1.1, 192.168.3.1, 192.168.2.1), esto antes de poner el PFSENSE si funcionaba, y se podía enviar desde la wan a la IP de las camaras

Gernupe

Tiene toda la pinta de ser un problema de rutas esto.

Me imagino que el equipo 192.168.3.5 tiene como gateway la 192.168.3.1 (en el post original no lo dice, pero si usas una mascara /24 y el pfsense tiene la 192.168.1.1 no creo que haya otra forma), por lo que todo lo que le llegue desde cualquier ip, va a intentar volver por ese lugar, por lo que los accesos que se hagan desde internet, van a intentar salir por el gateway incorrecto. Con la 1.2 funciona bien, porque el gateway es el mismo por donde entra el request original tambien.

jlaguilar

Estaba pensando u colocarla una segunda IP pero no veo donde, ya hice lo que esta escrito en la documentación "Multiple Subnets on One Interface in pfSense" pero no da resultado, me podrias indicar como puedo poner la segunda IP (192.168.3.1) para que los equipos del segmento de la red la vean y ya puedan salir a internet.

Gernupe

Creas una "Virtual IP" del tipo "Proxy ARP", en interfaz elegi la LAN y en la ip pone la 192.168.3.1. Acordate de quitarla del Cisco o las dos van a responder al ARP por la misma IP.

Nota: Esto quita todo el acceso a lo que se accediera por el otro router, si precisas acceder a algo si o si por el otro enlace, crea rutas estaticas a las ips de los servicios que quieras acceder y como gateway pone la ip del cisco que esta en la red 192.168.1.0/24

![Firewall_ Virtual IP Address_ Edit.png](/public/imported_attachments/1/Firewall_ Virtual IP Address_ Edit.png)
![Firewall_ Virtual IP Address_ Edit.png_thumb](/public/imported_attachments/1/Firewall_ Virtual IP Address_ Edit.png_thumb)

Gernupe

Voy a cambiar mi respuesta, proxy arp no te sirve porque es una red entera lo que precisas. el tipo de ip virtual en "IP Alias" con la mascara correcta. Despues si queres tener salida a internet y tenes los nateos de salida manuales, deberias generar una entrada con origen la 3.0/24 nateando con la ip de la WAN

jlaguilar

He echo la configuración
y sigo sin alcanzar los equipos

anexo lo que configuré
saludos

![Ip Alias.png](/public/imported_attachments/1/Ip Alias.png)
![Ip Alias.png_thumb](/public/imported_attachments/1/Ip Alias.png_thumb)

ConfigWan.png_thumb

Reglas.png_thumb

Gernupe

192.168.3.1 la VIP, el resto parece estar correcto.

jlaguilar

Realice la modificación

desde el mismo PFsense responde

[2.2.6-RELEASE][firerwall]/root: ping 192.168.3.1
PING 192.168.3.1 (192.168.3.1): 56 data bytes
64 bytes from 192.168.3.1: icmp_seq=0 ttl=64 time=0.112 ms
64 bytes from 192.168.3.1: icmp_seq=1 ttl=64 time=0.031 ms
64 bytes from 192.168.3.1: icmp_seq=2 ttl=64 time=0.032 ms
64 bytes from 192.168.3.1: icmp_seq=3 ttl=64 time=0.036 ms
64 bytes from 192.168.3.1: icmp_seq=4 ttl=64 time=0.036 ms
64 bytes from 192.168.3.1: icmp_seq=5 ttl=64 time=0.029 ms
64 bytes from 192.168.3.1: icmp_seq=6 ttl=64 time=0.040 ms
64 bytes from 192.168.3.1: icmp_seq=7 ttl=64 time=0.038 ms
64 bytes from 192.168.3.1: icmp_seq=8 ttl=64 time=0.030 ms
64 bytes from 192.168.3.1: icmp_seq=9 ttl=64 time=0.034 ms
64 bytes from 192.168.3.1: icmp_seq=10 ttl=64 time=0.043 ms
64 bytes from 192.168.3.1: icmp_seq=11 ttl=64 time=0.032 ms
64 bytes from 192.168.3.1: icmp_seq=12 ttl=64 time=0.031 ms
64 bytes from 192.168.3.1: icmp_seq=13 ttl=64 time=0.033 ms
64 bytes from 192.168.3.1: icmp_seq=14 ttl=64 time=0.040 ms
64 bytes from 192.168.3.1: icmp_seq=15 ttl=64 time=0.032 ms

pero cuando le doy ping a un equipo de ese segmento
[2.2.6-RELEASE][firerwall/root: ping 192.168.3.12
PING 192.168.3.12 (192.168.3.12): 56 data bytes
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down
ping: sendto: Host is down

Ese equipo ya esta configurado para que la puerta de salida sea 192.168.3.1

Gernupe

Te quedo con /24 el alias? El otro equipo (que no se de donde saque que era un Cisco) no seguira respondiendo con la misma ip?

Gernupe

Hace el ping desde otro equipo y no desde el router al equipo, puede tener algún firewall que impida la respuesta. Si no responde revisa la tabla arp del equipo, si aparece la 192.168.3.1, fijate si coincide con la MAC de la interfaz LAN.

bellera

@jlaguilar:

Bueno ahora se necesita que un equipo del segmento de seguridad se le asigne una IP Publica la cual se procede hacer lo mismo.

Entiendo que lo que quieres es disponer de varias IPs públicas en tu WAN y hacer NAT entrante.

Google wan public ip site:forum.pfsense.org

https://forum.pfsense.org/index.php?topic=58629.0

https://www.youtube.com/watch?v=zrBr0N0WrTY

En el vídeo hacen NAT 1:1, que equivale a publicar en internet todos los servicios que tenga el equipo interno.

Si no quieres dejarlo tan abierto emplea NAT Port Forward