intervlan sw capa 3 y vlans

Eliezar

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.848
estimados

tengo esta situación que quiero implementar . una red wifi pasarla por un firewall ( pfsense ) que corre en una vm , todo por una vlan x .

el tema es que el sw core esta ruteando ( ip routing ) por ende todas las vlan se ven y esta hace de gw para la vlan que quiero pasar por el firewall . Si bien , tengo conectividad poniendo de gw la ip lan interna del firewall , puedo aplicar reglas , etc. pero si cambio el gw en el equipo q esta dentro de esta vlan hacia otra existente , se salta el firewall

algo que pueda hacer para aislar esa vlan ? es un cisco . al ser los equipos del sw core hacia afuera de una empresa , mano no puedo meter mas que incluir cosas que no destruya lo q esta. Alguna otra idea :zippy

O solo queda usar ACL ?

Y el otro tema , es el gw de la vlan creada en el sw , si el equipo de la vlan x se pone ese gw tb se salta el firewall

LdXtgwM.png
 
Última modificación:
Sort by date Sort by votes
sr_meck

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
Osea, si no puedes dejar el sw solo como L2 y rutear las vlan solo en el pfsense para las politicas, lo que puedes hacer es aplicar unas ACL de puta madre sobre las vlan, para que en caso de que los usuarios se cambien el default no puedan hacer nada mas obligando a los usuarios no cambiarse el default.

Pero claro, en tu caso la mejor solución es dejar el sw a solo como L2 y subir los default al pfsense con una troncal.

Saludos
 
Upvote 0
Eliezar

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.848
chikogollo dijo:
Osea, si no puedes dejar el sw solo como L2 y rutear las vlan solo en el pfsense para las politicas, lo que puedes hacer es aplicar unas ACL de puta madre sobre las vlan, para que en caso de que los usuarios se cambien el default no puedan hacer nada mas obligando a los usuarios no cambiarse el default.

Pero claro, en tu caso la mejor solución es dejar el sw a solo como L2 y subir los default al pfsense con una troncal.

Saludos
Haz clic para expandir...

el tema que existe un firewall q va despues del sw por ruta estatica , pero pedir hacer algo en el es perder tiempo , asi que puse pfsense para las redes wifi

la forma entonces es por ACL , bajare packet tracer para acordarme de como hacerlas xD por que uta q son dificiles en cisco si no tienes training.

Alguna otra sugerencia para implementar ?
 
Upvote 0
sr_meck

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
Pero hay una red de paso para el firewall?

Por si es asi es subir ese segmento de paso tambien sobre el pfsense y no tienes que hacer nada, ya que los cambios son a nivel LAN.

Para la ACL son simples las verdad

ip access-list 10X [permit/deny] [protocol] [source] [destino]

por ejemplo una acl que uso siempre para permitir la navegacion a la publica pero no tenga acceso a la RFC es

access-list 100 deny ip 10.0.0.0 255.0.0.0.0 any
access-list 100 deny ip 172.16.0.0 255.240.0.0 any
access-list 100 deny ip 192.168.0.0 255.255.0.0.0 any
access-list 100 permit ip any any

despues vas a interfaz y la aplicas

interface tuhermana0/0
access-class 100 in

Saludos
 
Upvote 0
Eliezar

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.848
chikogollo dijo:
Pero hay una red de paso para el firewall?

Por si es asi es subir ese segmento de paso tambien sobre el pfsense y no tienes que hacer nada, ya que los cambios son a nivel LAN.

Saludos
Haz clic para expandir...

me pillaste con esos términos , del sw core sale por ruta estatica 0.0.0.0 hacia la red del firewall que no tengo acceso y este hace el nat hacia internet.
 
Upvote 0
sr_meck

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
yapo... entonces ese es tu default en el pfsense. la ruta 0.0.0.0 0.0.0.0 es al ruta por defecto, entonces sobre tu pfsense a nivel wan esa es tu informacion, si quieres pone las config de las interfaces y el routing y te digo como deberia ser .

Saludos
 
Upvote 0
Eliezar

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.848
pero si la interfaz wan de pfsense es una ip de otra vlan con el gw de esa vlan del sw

con la ruta , se salta eso ? por q igual ahora probando con la acl , me funciona si configuro una ipcom gw de vlan , pero si pongo gw de pfsense , como sale por otra vlan , se salta la acl xD

Enviado desde mi moto g(6) play mediante Tapatalk
 
Upvote 0
sr_meck

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
tenia la caga a nivel de routing xD

manda las config por interno y te ayudo con el diagrama

Saludos
 
Upvote 0
Eliezar

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.848
alguna forma de q las vlan pasen por el sw core sin que esten ahi creadas ? onda manejar un switch que va a manejar todas las vlan que quiero q pasen por mi firewall

se entiende ? :xd
 
Upvote 0
replikante

replikante

Capo
Se incorporó
10 Septiembre 2008
Mensajes
105
Eliezar dijo:
alguna forma de q las vlan pasen por el sw core sin que esten ahi creadas ? onda manejar un switch que va a manejar todas las vlan que quiero q pasen por mi firewall

se entiende ? :xd
Haz clic para expandir...

Si quieres pasar las VLAN por SW->CORE->FW y que el FW sea el gateway, solo tienes que ocupar tu equipo CORE como L2 y hacer un troncal entre el FW y el CORE y permitir las VLAN de un lado a otro.
 
Upvote 0
Eliezar

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.848
replikante dijo:
Si quieres pasar las VLAN por SW->CORE->FW y que el FW sea el gateway, solo tienes que ocupar tu equipo CORE como L2 y hacer un troncal entre el FW y el CORE y permitir las VLAN de un lado a otro.
Haz clic para expandir...
no puedo hacer eso , el core no es de mi propiedad y el firewall no es para gateway de toda la red , solo de las redes wifi que ademas quiero ocupar otras funciones del pfsense en esta vlan .

todo esto es porque si bien hay un firewall en el borde antes de internet , tambien es de bomistar . y pedir implementaciones a estos genios es una perdida de tiempo
 
Upvote 0
replikante

replikante

Capo
Se incorporó
10 Septiembre 2008
Mensajes
105
Y no tienes un SW que administres tu? para que lo conectes a tu PFsense y ahi creas una VLAN para el wifi. Saludos!
 
Upvote 0
Eliezar

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.848
replikante dijo:
Y no tienes un SW que administres tu? para que lo conectes a tu PFsense y ahi creas una VLAN para el wifi. Saludos!
Haz clic para expandir...

y como paso la vlan por el core ? por que es imposible fisicamente saltarse el sw core . ademas de q pfsense es una vm y las redes wifi en varias dependencias
 
Upvote 0
replikante

replikante

Capo
Se incorporó
10 Septiembre 2008
Mensajes
105
Eliezar dijo:
y como paso la vlan por el core ? por que es imposible fisicamente saltarse el sw core . ademas de q pfsense es una vm y las redes wifi en varias dependencias
Haz clic para expandir...

Es que si todo pasa por ahi y tu no administras ese equipo, esta dificil. Por eso te decia que mejor pones tu un sw que este conectado directamente al pfsense y ahi quedas con la administración de esa red.

El pfsense solo tiene conexion con el core?


Enviado desde mi iPhone utilizando Tapatalk
 
Upvote 0
Eliezar

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.848
replikante dijo:
El pfsense solo tiene conexion con el core?


Enviado desde mi iPhone utilizando Tapatalk
Haz clic para expandir...

el pfsense o bien digamos , el hypervisor donde esta la maquina virtual , la unica forma de tener conectividad es pasando por el core , por que fisicamente no hay otra forma , no hay otro equipo de red que tenga conectividad con las demás dependencias si no es por el core.

no se si me explico bien
 
Upvote 0
replikante

replikante

Capo
Se incorporó
10 Septiembre 2008
Mensajes
105
Eliezar dijo:
el pfsense o bien digamos , el hypervisor donde esta la maquina virtual , la unica forma de tener conectividad es pasando por el core , por que fisicamente no hay otra forma , no hay otro equipo de red que tenga conectividad con las demás dependencias si no es por el core.

no se si me explico bien
Haz clic para expandir...

Se entiende: el cable que conecta al server hypervisor esta conectado de forma directa al core, si es así y no tienes alguna otra NIC disponible en el servidor, esta difícil pasar la VLAN. Solo te quedaría realizar ACL para comenzar a filtrar -_-
 
Upvote 0
Eliezar

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.848
replikante dijo:
Se entiende: el cable que conecta al server hypervisor esta conectado de forma directa al core, si es así y no tienes alguna otra NIC disponible en el servidor, esta difícil pasar la VLAN. Solo te quedaría realizar ACL para comenzar a filtrar -_-
Haz clic para expandir...
o sea si , cada servidor parte del hypervisor tiene 4 nic , tengo 1 para el mngt , otra en bonding o lacp o lag o como quieran llamarle pasando todas las vlan y me sobra otra

pero mi duda es como hacer lo q dices tu , si por ejemplo una red wifi de una dependencia que llega por fibra ptp al sw core , por donde paso la vlan :zippy , si , si o si el paso es por el core xD

voy a probar con 2 vlan , una a usarla para la lan y otra pa wan y aplicarle acl a las 2

q creen ustedes ?

Enviado desde mi moto g(6) play mediante Tapatalk
 
Upvote 0
You must log in or register to reply here.
Subir