Reglas para configurar correctamente trafico por MPLS (SOLUCIONADO)
-
Hola
Por cierto, el router Cisco con mpls. ¿Como publica las rutas? ¿Con el protocolo de enrutamiento RIP?¿Ya tienes definidas las rutas en el Cisco para mpls?
Si así fuera, creo recordar que pfSense traia un paquete para RIP, pero ya no lo veo en la ver 2.3
El meollo está en que pfSense sepa que ruta tomar a las subredes vía interfaz mpls, por ejemplo la 192.168.200.0/24
Otra idea seria que implementaras openVPN hub-and-spoke (una central con servidor openvpn y sucursales con cliente openvpn que se conecten a la central), o tuneles IPsec (doblando la seguridad en el tráfico vía mpls)
Salu2
-
Estimado muchas gracias por su ayuda.
El vinculo LAN-to-LAN lo provee la empresa Claro (Telmex) ellos la llaman RPV
http://www.claro.com.co/wps/portal/co/pc/corporaciones/multinacionales/rpv-multiservicios
Al momento de la configuración del servicio el ISP me envió lo sig:
Mxxxxxx: 172.10.10.1/24 - 192.168.200.0/24 x la 172.10.10.2
Sxxxxxx: 172.10.11.1/24 - 192.168.101.0/24 x la 172.10.11.2
Lxxxxxx: 172.10.12.1/24 - 192.168.102.0/24 x la 172.10.12.2
Bxxxxxx: 172.10.13.1/24 - 192.168.100.0/24 x la 172.10.13.2Según ellos el trafico sobre la MPLS funciona perfectamente y ya tiene todas las rutas internamente cargadas
Ahora me gustaría mostrarle la configuración actual de mis pfsense para descartar que exista un error en ella
He configurado todo de acuerdo a lo poco que se y lo que usted me ha recomendado pero aun así esto no funciona
Configuración SITE1
Esta es la interfaz MPLS configurada en el PFsense del Site1
Esta es la configuración del GW MPLS de esa interfaz
Esta es la ruta estática configurada en el Site1
Finalmente esta es la única regla definida dentro de la interfaz MPLS
Configuración Casa Central
Esta es la interfaz MPLS configurada en el PFsense de Casa Central
Esta es la configuración del GW MPLS de esa interfaz
Esta es la ruta estática configurada en Casa Central
Finalmente esta es la única regla definida dentro de la interfaz MPLS
Claramente algo esta mal por que con esa configuración no funciona
Saludos
-
Hola.
Las rutas estáticas, según la doc de pfSense:
https://doc.pfsense.org/index.php/Static_RoutesQue, creo a simple vista, es como lo tienes ahora.
Ahora deberias depurar. Desde un equipo de la lan de central (192.168.101.0/24) hacer un traceroute a un host de la lan remota 192.168.200.x y comprobar que enruta como debe, luego intentar conectarte a un servicio (telnet, ssh, ftp, sftp, http, https, etc) que tengas en ese host, y observar donde el tráfico es bloqueado (SYN_SENT). Ya sea mediante sniffer, en los logs del pfSense, etc
Salu2
-
Hola
Por cierto, rectifico, sí existe el paquete para pfSense 2.3 routed 1.2.3_2 RIP v1 and v2 daemon
Salu2
–add--
Si configuras los routers cisco de la central y de las sucursales MPLS para que publiquen las redes vía el protocolo de enrutamiento RIP (aconsejable rip v2, ya que proporciona seguridad con clave), y el pfSense le instalas el paquete Routed y lo configuras para que escuche y publique (la red lan) las tablas de rutas en su interfaz MPLS, asunto resuelto el tema de enrutamiento.
-
Estimado buenos días
Acabo de hacer un tracert desde Site1 a CasaCentral desde el mismo pfsense
Si lo hago desde un win da el mismo resultado
Me llamo la atención la IP del rango 156 por lo tanto realice un reclamo al proveedor y la respuesta de ellos es la siguiente.
_**Matias,
Según observo en las trazas estas llegando OK a las puntas, paso a continuación como están armadas:
• MENDOZA
GREE02RT01#sh ip int br
Interface IP-Address OK? Method Status Protocol
FastEthernet0 unassigned YES unset up up
FastEthernet1 unassigned YES unset administratively down down
FastEthernet2 unassigned YES unset administratively down down
FastEthernet3 unassigned YES unset administratively down down
FastEthernet4 unassigned YES NVRAM up up
FastEthernet4.52 154.1.83.102 YES NVRAM up up
Vlan1 unassigned YES unset administratively down down
Vlan100 172.10.10.1 YES manual up upGREE02RT01#sh ip route 192.168.200.1
Routing entry for 192.168.200.0/24
Known via "static", distance 1, metric 0
Redistributing via bgp 65194
Advertised by bgp 65194
Routing Descriptor Blocks:
* 172.10.10.2
Route metric is 0, traffic share count is 1• SAN LUIS
GREE01RT02#sh ip int br
Interface IP-Address OK? Method Status Protocol
FastEthernet0 unassigned YES unset up up
FastEthernet1 unassigned YES unset administratively down down
FastEthernet2 unassigned YES unset administratively down down
FastEthernet3 unassigned YES unset administratively down down
FastEthernet4 unassigned YES NVRAM up up
FastEthernet4.21 154.1.69.186 YES NVRAM up up
Vlan1 unassigned YES unset administratively down down
Vlan100 172.10.11.1 YES manual up upGREE01RT02#sh ip route 192.168.101.1
Routing entry for 192.168.101.0/24
Known via "static", distance 1, metric 0
Redistributing via bgp 65194
Advertised by bgp 65194
Routing Descriptor Blocks:
* 172.10.11.2
Route metric is 0, traffic share count is 1Posiblemente la falla sea en la ruta default de los host 172.10.X.2 en Mendoza y San Luis los cuales no saben cómo volver.-**_
Según lo que me comentan telefónicamente es que los pfsense son los que no encuentran la manera de retornar el trafico o algo así.
Que opina usted??
Saludos y Gracias
-
Hola
Lo que te dice tu isp es que los routers intermedios tienen sus interfaces levantadas y operativas y la ruta
Son Cisco, y usa los comandos:
show ip interface brief # muestra el estado de las interfaces
show ip route 192.168.200.1 # muestra la ruta a esa ipY se ve que usan BGP (Border Gateway Protocol) como procolo de enrutamiento.
Redistributing via bgp 65194
para publicar y obtener las tablas de rutas entre los nodos.
La mala noticia es que con RIP en ese entorno no funcionaria.
La buena noticia es que pfSense 2.3 dispone de un paquete OpenBGPD 0.11_4 donde puedes configurar BGP para que entienda y hable (reciba y publique) las rutas vía BGP
Salu2
-
Estimado muchas gracias por su ayuda.
He solucionado el problema configurando la siguiente regla en cada pfsense.
Reitero mi agradecimiento por su tiempo y ayuda.
Saludos
-
Hola
Le dejas pasar todo tipo de protocolo
protocol "any"
Observo que no hay protocolo espécifico para MPLS en las reglas del firewall:
Hay
TCP
UDP
TCP/UDP
ICMP
ESP
AH
GRE
IPV6
IGMP
PIM
OSPF
SCTP
any
CARP
PFSYNCCuriosamente sí hay protocolo para OSPF (que es un protocolo de enrutamiento muy usado en Cisco), ergo tienes que poner any, para que pase el tráfico bajo el protocolo MPLS
Me alegro que se haya solucionado, gracias a ti también pues también he aprendido :)
Salu2
-
Buen día Amigos
Hay que hacer unas aclaraciónes:
- En realidad MPLS opera en las capas 2 y 3 del modelo OSI
- Ningún proveedor ofrece MPLS punto a punto, es un tema de marketing, puesto que es demasiado costoso, en realidad tu tráfico es etiquetado utilizando MPLS en el core de la red de tu ISP, y se vale de sistemas de transmisión como lo es metroethernet, o DWDM, SDH entre otros, y como MPLS se puede combinar con todas estas tecnologías.
- La regla que creaste está bien, es como si fuera otra interfaz LAN.
-
Hola
Aleximper, he corregido lo de que MPLS trabaje en capa 3 y 4, es 2 y 3, los nºs a veces bailan :) … gracias.
Lo que sí tengo claro es que MPLS es el sustituto a FrameRelay (por lo menos esa es la tendencia de los ISPs)
Salu2