Guía: ¿Será firewall u otro tema que no me permite salir a WAN en EdgeRouter con LAN 2 por puerto?

laloqueno

Miembro Regular
Se incorporó
1 Mayo 2020
Mensajes
85
Hola,

Espero que estén todos bien. Estaba a punto de hacer up a un post anterior, por una duda de una VLAN en ese hilo de conversación, pero preferí hacer un post nuevo, pues si bien está relacionado al mismo equipo router, un EdgeRouter 4 (ER-4), el tema no esta enfocada al anterior. Sorry si no es así.

Por ahora y por el periodo que estamos hoy, decidí no comprar un switch administrable, para poder hacer el tema de la VLAN 1 y la VLAN 1003, taggeos y más, para que los Apple Airports que tengo y que están como Access Point Inalámbricos funcionen con una red inalámbrica principal (VLAN 1) y de invitados (VLAN 1003). Como tengo un router antiguo linksys con dd-wrt, mi idea es dejarlo para hacer pruebas y más (o una especie de homelab, cuando se pueda). Por lo que aprovechando que el ER-4, tiene un conector SFP (estoy con dual-wan-failover: eth0 y eth1; LAN principal: eth2), compré el modulo SFP a cobre RJ45 de 1Gigabit de Ubiquiti, para conecta en eth3, el router con dd-wrt.

Googleando en foros de UI, tutoriales de UI y Youtube, para configurar el eth3, como red dos o de invitados, a la hora de probar tengo problemas para conectarme a internet, que no se si es problema de firewall u otro, y quería ver que estoy haciendo mál, o que me falta. Solo he hecho las pruebas conectando mi notebook, al puerto eth3 (router <-- eht3 --> notebook).

Algunas fotos:

a) panel de control del ER-4, con el estado y configuración de los puertos

imagen-post-1.png


b) Resumen de configuración DHCP, donde me muestra mi equipo en el historial de dispositivos, que se le ha dado IP

imagen-post-2.png


c) Panel de preferencias de red de mi equipo

imagen-post-3.png


d) Pestaña DNS en ER-4

imagen-post-4.png

e) politicas de firewall: mediante el wizard, cuando inicié el equipo, lo configuré con dual-wan y modo a prueba de cada (o failover), este creó las políticas de firewall IN y LOCAL de la WAN (junto a la configuración de NAT y otros). Yo, mediante la información que encontré, creé dos políticas más: una LOCAL la cual dropea todo lo que sea tráfico al router, salvo temas de DNS y DHCP y una IN la cual por defecto acepta todo, salvo tratar de acceder a Ípsilons de la red en eth2 o LAN principal. En los dos casos, las políticas son aplicadas a la interfaz eth3 (de forma in y local, según corresponda).

Política LOCAL:

imagen-post-5.png


Política IN:

imagen-post-6.png


Interfáces:

imagen-post-7.png


Pero a la hora de salir o navegar a internet, por eth3, tengo problemas las páginas no cargan (como que bloquea y/o dropea) y al hacer ping al DNS de Cloudflare, este el ping que me da:

imagen-post-8.png


Finalmente las configuración las hice por el GUI, se que por línea de comando hay más granularidad, la LAN principal está Ok.

¿Qué puede ser lo que esté pasando? :hmmm

[me gusta hacer estas pregunta con tanta imagen, por si a otros le puede servir después]
 
Última modificación:

pitzyper

Online
Se incorporó
4 Agosto 2009
Mensajes
742
Creo que tienes políticas de sobra:

En la WAN_IN tengo todo lo que necesito que llegue a mi red interna, y la última regla dentro de la política tiene el drop:

1589916174730.png


Lo mismo para el WAN_LOCAL, pero para puertos del mismo router.

Tienes el DNAT creado?

1589916287397.png


Saludos
 
Upvote 0

laloqueno

Miembro Regular
Se incorporó
1 Mayo 2020
Mensajes
85
Hola gracias por tu tiempo y respuesta.

Sobre los dos temas:

Creo que tienes políticas de sobra:

En la WAN_IN tengo todo lo que necesito que llegue a mi red interna, y la última regla dentro de la política tiene el drop:

Lo mismo para el WAN_LOCAL, pero para puertos del mismo router.

Voy a darle una vuelta para ver cómo optimizar el tema de las políticas. ¿En tu caso, solo estás con una LAN (sin VLAN ni nada más), cierto?

Tienes el DNAT creado?

En lo que se refiere al tema de DNAT, no tengo nada creado. Solo lo que hizo el wizard con el tema del dual-wan (está apagado el sfp en la imagen por que como no lo estoy ocupando ahora, lo desactivé).

imagen-post-9.png


Así que voy a darle una vuelta, para entender más de los DNAT, probar y configurar. Sin ser experto, me parece que es el siguiente paso que debería de seguir.

En definitiva por ahora, mi idea es dejar la red del puerto eth2 como la principal (10.0.135.0/24) y de la casa y la eth3 (10.8.0.0/24), para pruebas y otras yerbas.

Aviso como me va.
 
Upvote 0

pitzyper

Online
Se incorporó
4 Agosto 2009
Mensajes
742
Sí, yo no estoy usando VLANs, me conecto directo. De todas maneras, tener VLAN es tener varias redes. No la veo creada en el dashboard que muestras en el primer post.

Sobre tus interfaces, en la política del WAN_IN tienes puesta ambas interfaces (eth0 y eth1) como origen, cierto?

1589982737269.png


Saludos
 
Upvote 0

laloqueno

Miembro Regular
Se incorporó
1 Mayo 2020
Mensajes
85
Por lo que estoy aprendiendo y leyendo, si para efectos prácticos de este tema las VLAN es similar a LAN an cuando a redes, solo es el medio físico que soporta varias redes con un identificando la red virtual con ID.

Por ahora el tema de la VLAN del post anterior, lo tengo en pausa. De hecho borré las configuraciones que hice de la VLAN 1003 (o por ahora no estoy trabajando on VLANs). Ahora lo que estoy tratando de hacer que dos LANs existan el router y que una no pueda ver a la otra.

Las LANs son:
En el puerto eth2: LAN 1 (principal) 10.0135.0/24 (que está funcionado bien)
Eb el puerto eth3 (del conector SFP que está con el modulo RJ45 de 1 giabits): LAN 2 10.8.0.0/24

Como no estoy ocupándo el puerto ahora, eth3 lo dejé desconectado y no hay cable en el modulo

0-lans-en-dashboard.png



Sobre las políticas WAN si ambas están con las interfaces donde se conectan a los ISPs (y funciona ok, el modo a prueba de fallo)

1-politicas-wan.png


Ayer en la tarde estuve algo investigando del DNAT, pero por ahora creo que no es el tema o lo que estaría faltando (puedo estar equivocado), por lo que lo que entiendo sería configuraciones para dispositivos puntuales y políticas de NAT. Así que volví a darle una vuelta en relación a una guía en ubiquiti y un video de un YouTuber, que configura de forma similar a la guía (pero no igual) y finalmente cambié la política IN de la LAN 2 (eth3), de lo que está explicado inicialmente en el post. En síntesis: política IN del tipo por defecto aceptar, donde la regla uno aceptar establecido y relacionado y la segunda que dropea las IPs del grupo de redes privadas (entiendo que sería como que en la LAN 2, ningún dispositivo pueda ver se a otro y nada que sea en uno de los tres rangos privados).

Links:
- https://help.ui.com/hc/en-us/articles/218889067-EdgeMAX-How-to-Protect-a-Guest-Network-on-EdgeRouter
-
Sigo igual, en LAN 2 en cuanto al correcto acceso a WAN. Trate sin la regla uno y luego con la regla uno (aceptar establecido y relacionado), y reinicié el router un par de veces. Sin ser experto, pero como que de la idea, que está drapeando muchos paquetes y hace que las paginas cargan infinito y ayer perdida de paquetes en las pruebas de ping. ¿Podrá ser eso?

Imagen de politica IN de LAN 2 y resultado de una de las pruebas de ayer.

2-lan2-politca-in-1.png


2-lan2-politca-in-2.png


2-lan2-politca-in-3.png


2-lan2-politca-in-4.png



¿Qué se te ocurre que puede ser?
 
Upvote 0

laloqueno

Miembro Regular
Se incorporó
1 Mayo 2020
Mensajes
85
Actualización. Luego del post hice un par de pruebas más y configuraciones sobre el router y la politicas IN de la LAN 2. Cambie la que dropea a todo las redes privadas, solo a que dropea a la LAN 1 desde eth3 (donde esta la LAN2). Además leyendo en un foro de UI, dice que regla 1 que aceptada establecido y relacionado en la IN de la LAN 2 (no WAN), no era necesario.

Ahí probé con un switch, en eth3, que dos notbooks se pudieran ver (por ping y ok), luego que no pudieran ver la LAN 1 y esos temas.

A la hora de navegar por la LAN2, no podía acceder a las páginas, por lo haciendo una prueba adicional, deshenchufe el modem de VTR (WAN1) y al tomar la ISP de respaldo, ahí no tuve problema de navegación.

dashboard con wan 2 y lan 2.png


Pero al volver a enchufar el modem del Wan 1, ahí vuelven los problemas en la LAN2. Todo sigue bien en la LAN 1.

Raro, sigo investigando.
 
Upvote 0
Subir