[solucionado]Prioblemas Al asignar IP Publicas a distintos segmentos de red



  • Hola amigos,

    Tengo poco de instalar este producto pero me han surgido algunos problemas, espero me puedan apoyar a resolverlos.

    Les pongo como esta el panorama.

    Tengo 3 segmentos de red
    Datos (192.168.1.0/24)
    Voz (192.168.2.0/24)
    Seguridad (192.168.3.0/24)

    Mi puerta de salida es  192.168.1.1

    Se configura el PFSENSE
    Lan  192.168.1.1
    Wan xxx.xxx.150.256
    WanGateway xxx.xxx.150.255
    DNS 8.8.8.8

    Hasta ahí todo funciona correctamente, el segmento de red de datos salen a Internet sin problemas;

    – Aquí vienen las configuraciones especiales
    Se cuenta con un Router que hace conexión a otro sitio Datos2 (175.23.2.2) el cual debe tener acceso a los 3 segmentos por tal motivo el Router tiene configurado los 3 segmentos y quedando como puerta de salida para los segmentos de VOZ y de SEGURIDAD de la siguiente manera.
    IP Router : 192.168.3.1
        192.168.2.1
        192.168.1.3

    Se agrega en el PFSense un nuevo GateWay 192.168.2.3 y se configuran los “Static Routes” desde Routings
    Network : 175.23.2.0/24 ->  Gateway: 192.168.2.3 ->  Interface: LAN - > Description: Sitio Datos2
    Network : 192.168.1.0/24 ->  Gateway: 192.168.2.3 ->  Interface: LAN - > Description: Sitio Datos2
    Network : 192.168.2.0/24 ->  Gateway: 192.168.2.3 ->  Interface: LAN - > Description: Sitio Datos2
    Network : 1 192.168.3.0/24 ->  Gateway: 192.168.2.3 ->  Interface: LAN - > Description: Sitio Datos2

    Hasta ahora todo fabuloso, funciona todo, desde el sitio remoto se ven las IP´s sin problemas y viceversa.

    Se asigna una IP Publica xxx.xxx.150.257 a un equipo del segmento de datos la cual queda a la IP LAN 192.168.1.2

    Los pasos que seguí fueron:
    Entre a Virtual IP y agregue
    Type: IP Alias
    Interface: WAN
    IP Address(es): xxx.xxx.150.257
    Description: TS-Server

    Agregar Nueva Regla (Solo escribiré los campos que surtieron efecto todos los demás quedan por defecto)
    Interface: WAN
    Protocol: TCP
    Destination:  (type) xxx.xxx.150.257 (TS-Server)
    Redirect target IP: 192.168.1.2
    Redirect target port: MS RDP
    Description: Valores Varios
    NAT reflection: User System Default
    Filter rule association: Rule NAT Valores Varios

    Vemos que se crea nuevas reglas (Rules)

    Proto: IPv4 TCP
    Source: *
    Port: *
    Destination: 192.168.1.2
    Port: 3389 (MS RDP)
    Gateway: *
    Queue: *

    Esto funciona sin problema ahí todo “OK”, todo esto lo doy a conocer para que se vea toda la configuración que se tiene, así mismo mencionar que antes que pusiera este Firewall se encontraba funcionando otro llamado FORTINET el funcionaba sin ningún problema (bueno solo las licencias por eso el cambio) y se esta intentando hacer las mismas configuraciones que en su momento tenia el equipo anterior.

    Bueno ahora se necesita que un equipo del segmento de seguridad se le asigne una IP Publica la cual se procede hacer lo mismo.

    Se asigna una IP Publica xxx.xxx.150.258 a un equipo del segmento de datos la cual queda a la IP LAN 192.168.3.5

    Los pasos que seguí fueron:
    Entre a Virtual IP y agregue
    Type: IP Alias
    Interface: WAN
    IP Address(es): xxx.xxx.150.258
    Description: Camaras

    Agregar Nueva Regla (Solo escribiré los campos que surtieron efecto todos los demás quedan por defecto)
    Interface: WAN
    Protocol: TCP
    Destination:  (type) xxx.xxx.150.258 (Camaras)
    Redirect target IP: 192.168.3.5
    Redirect target port: HTTP
    Description: Valores Varios
    NAT reflection: User System Default
    Filter rule association: Rule NAT Valores Varios

    Vemos que se crea nuevas reglas (Rules)

    Proto: IPv4 TCP
    Source: *
    Port: *
    Destination: 192.168.3.5
    Port: 80 (HTTP)
    Gateway: *
    Queue: *

    Aquí esta el problema, ya que no esta funcionando, desde la LAN si puedo acceder a ese equipo con el puerto 80 pero desde afuera no, ya he intentado configurando el ICMP para que me pueda contestar el ping desde afuera, ya que desde la LAN está funcionando bien si contestan entre segmentos Datos-> Seguridad.

    ¿Me podrían ayudar como solucionar este problema?
    Tan solo que me conteste el ping desde afuera yo ya haría todo lo demas.

    Nota: en el Router 192.168.1.3 no se realizó ningún cambio ya que con el otro equipo estaba funcionando correctamente.

    Agradeciendo de antemano su apoyo quedo a espera de sus respuestas

    saludos
    ![Diagrama Red.jpg](/public/imported_attachments/1/Diagrama Red.jpg)
    ![Diagrama Red.jpg_thumb](/public/imported_attachments/1/Diagrama Red.jpg_thumb)



  • Hola , tengo dudas por que estas rutas estan dadas de alta en el PFSense

    Network : 192.168.1.0/24 ->  Gateway: 192.168.2.3 ->  Interface: LAN - > Description: Sitio Datos2
    Network : 192.168.2.0/24 ->  Gateway: 192.168.2.3 ->  Interface: LAN - > Description: Sitio Datos2
    Network : 1 192.168.3.0/24 ->  Gateway: 192.168.2.3 ->  Interface: LAN - > Description: Sitio Datos2

    Estas redes están declaradas en el PFSense como locales , por lo que no se requiere que las rutas esten declaradas, mas que en el otro router.

    Ahora, para que las redes adicionales a la LAN puedan tener trafico hacia internet deberas de hacer los cambios en el NAT para que PFsense haga nat de estas redes tambien.

    Espero te ayude esto.

    saludos



  • Hola agradeciendo tu respuesta acrillo.

    oops me equivoque y agrege en esta explicación la direccion
    Network : 192.168.1.0/24 ->  Gateway: 192.168.2.3 ->  Interface: LAN - > Description: Sitio Datos2
    esta no va lo siento …

    Network : 192.168.2.0/24 ->  Gateway: 192.168.2.3 ->  Interface: LAN - > Description: Sitio Datos2
    Network : 192.168.3.0/24 ->  Gateway: 192.168.2.3 ->  Interface: LAN - > Description: Sitio Datos2
    pero bueno, se agregaron estas rutas por que los segmentos de voz tienen su puerta de salida al 192.168.2.1 que es un equipo Cisco y esa deben ser alcanzable desde los datos (192.168.1.0/24) por eso se enruta que todo el segmento da datos que requiera informacion del segmento de voz se diriga al equipo Cisco (192.168.2.3) y no se pude cambiar la puerta de salida por que ese equipo Cisco es el Conmutador (CallManager).

    esto mismo esta para los segmentos de seguridad (192.168.3.0/24) aunque a estos si podria cambiarles la puerta de salida.

    quedo a espera de cualqueir comentario

    saludos



  • Entiendo.

    has revisado el tema del NAT para las redes adicionales ?  has revisado que el equipo que estas tratando de acceder tiene correctamente configurada la puerta de enlace ?

    saludos



  • Hola acriollo,

    Si, como te comentaba Actualmente esta direccionado a la puerta 192.168.3.1 que la tiene el Cisco 192.168.0.3 y contiene IP secundarias  (192.168.1.1, 192.168.3.1, 192.168.2.1), esto antes de poner el PFSENSE si funcionaba, y se podía enviar desde la wan a la IP de las camaras



  • Tiene toda la pinta de ser un problema de rutas esto.

    Me imagino que el equipo 192.168.3.5 tiene como gateway la 192.168.3.1 (en el post original no lo dice, pero si usas una mascara /24 y el pfsense tiene la 192.168.1.1 no creo que haya otra forma), por lo que todo lo que le llegue desde cualquier ip, va a intentar volver por ese lugar, por lo que los accesos que se hagan desde internet, van a intentar salir por el gateway incorrecto. Con la 1.2 funciona bien, porque el gateway es el mismo por donde entra el request original tambien.



  • Estaba pensando u colocarla una segunda IP pero no veo donde, ya hice lo que esta escrito en la documentación "Multiple Subnets on One Interface in pfSense" pero no da resultado, me podrias indicar como puedo poner la segunda IP (192.168.3.1) para que los equipos del segmento de la red la vean y ya puedan salir a internet.



  • Creas una "Virtual IP" del tipo "Proxy ARP", en interfaz elegi la LAN y en la ip pone la 192.168.3.1. Acordate de quitarla del Cisco o las dos van a responder al ARP por la misma IP.

    Nota: Esto quita todo el acceso a lo que se accediera por el otro router, si precisas acceder a algo si o si por el otro enlace, crea rutas estaticas a las ips de los servicios que quieras acceder y como gateway pone la ip del cisco que esta en la red 192.168.1.0/24

    ![Firewall_ Virtual IP Address_ Edit.png](/public/imported_attachments/1/Firewall_ Virtual IP Address_ Edit.png)
    ![Firewall_ Virtual IP Address_ Edit.png_thumb](/public/imported_attachments/1/Firewall_ Virtual IP Address_ Edit.png_thumb)



  • Voy a cambiar mi respuesta, proxy arp no te sirve porque es una red entera lo que precisas. el tipo de ip virtual en "IP Alias" con la mascara correcta. Despues si queres tener  salida a internet y tenes los nateos de salida manuales, deberias generar una entrada con origen la 3.0/24 nateando con la ip de la WAN



  • He echo la configuración
    y sigo sin alcanzar los equipos

    anexo lo que configuré
    saludos

    ![Ip Alias.png](/public/imported_attachments/1/Ip Alias.png)
    ![Ip Alias.png_thumb](/public/imported_attachments/1/Ip Alias.png_thumb)





  • 192.168.3.1 la VIP, el resto parece estar correcto.



  • Realice la modificación

    desde el mismo PFsense responde

    [2.2.6-RELEASE][firerwall]/root: ping 192.168.3.1
    PING 192.168.3.1 (192.168.3.1): 56 data bytes
    64 bytes from 192.168.3.1: icmp_seq=0 ttl=64 time=0.112 ms
    64 bytes from 192.168.3.1: icmp_seq=1 ttl=64 time=0.031 ms
    64 bytes from 192.168.3.1: icmp_seq=2 ttl=64 time=0.032 ms
    64 bytes from 192.168.3.1: icmp_seq=3 ttl=64 time=0.036 ms
    64 bytes from 192.168.3.1: icmp_seq=4 ttl=64 time=0.036 ms
    64 bytes from 192.168.3.1: icmp_seq=5 ttl=64 time=0.029 ms
    64 bytes from 192.168.3.1: icmp_seq=6 ttl=64 time=0.040 ms
    64 bytes from 192.168.3.1: icmp_seq=7 ttl=64 time=0.038 ms
    64 bytes from 192.168.3.1: icmp_seq=8 ttl=64 time=0.030 ms
    64 bytes from 192.168.3.1: icmp_seq=9 ttl=64 time=0.034 ms
    64 bytes from 192.168.3.1: icmp_seq=10 ttl=64 time=0.043 ms
    64 bytes from 192.168.3.1: icmp_seq=11 ttl=64 time=0.032 ms
    64 bytes from 192.168.3.1: icmp_seq=12 ttl=64 time=0.031 ms
    64 bytes from 192.168.3.1: icmp_seq=13 ttl=64 time=0.033 ms
    64 bytes from 192.168.3.1: icmp_seq=14 ttl=64 time=0.040 ms
    64 bytes from 192.168.3.1: icmp_seq=15 ttl=64 time=0.032 ms

    pero cuando le doy ping a un equipo de ese segmento
    [2.2.6-RELEASE][firerwall/root: ping 192.168.3.12
    PING 192.168.3.12 (192.168.3.12): 56 data bytes
    ping: sendto: Host is down
    ping: sendto: Host is down
    ping: sendto: Host is down
    ping: sendto: Host is down
    ping: sendto: Host is down
    ping: sendto: Host is down
    ping: sendto: Host is down
    ping: sendto: Host is down
    ping: sendto: Host is down
    ping: sendto: Host is down
    ping: sendto: Host is down
    ping: sendto: Host is down
    ping: sendto: Host is down
    ping: sendto: Host is down

    Ese equipo ya esta configurado para que la puerta de salida sea 192.168.3.1



  • Te quedo con /24 el alias? El otro equipo (que no se de donde saque que era un Cisco) no seguira respondiendo con la misma ip?



  • Hace el ping desde otro equipo y no desde el router al equipo, puede tener algún firewall que impida la respuesta. Si no responde revisa la tabla arp del equipo, si aparece la 192.168.3.1, fijate si coincide con la MAC de la interfaz LAN.



  • @jlaguilar:

    Bueno ahora se necesita que un equipo del segmento de seguridad se le asigne una IP Publica la cual se procede hacer lo mismo.

    Entiendo que lo que quieres es disponer de varias IPs públicas en tu WAN y hacer NAT entrante.

    Google wan public ip site:forum.pfsense.org

    https://forum.pfsense.org/index.php?topic=58629.0

    Youtube Video

    En el vídeo hacen NAT 1:1, que equivale a publicar en internet todos los servicios que tenga el equipo interno.

    Si no quieres dejarlo tan abierto emplea NAT Port Forward


Log in to reply