Netgate SG-1000 microFirewall

Author Topic: [SOLUCIONADO] [NO USAR 169.254/16] No logro routear entre dos redes  (Read 1937 times)

0 Members and 1 Guest are viewing this topic.

Offline CuninganReset

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Hola a todos, tengo una pequeña instalación con un pFsense 2.1, en el cual tengo dos interfaces de red montado sobre la misma interface de red usando dos VLAN distintas.
Una interface de red es RED_SCH con IP 169.254.0.1/16
La otra interface de red es LAN con IP 172.16.1.1/16
Estoy intentando routear entre las dos pero no lo logro.
Desde la LAN he logrado hacer Ping a 169.254.0.1 pero a equipos de esa subred, como por ejemplo 169.254.0.2 no logro hacer ping.
Me tiene loco porque no se si es fallo mio o no, he incluso usado el WireShark para ver si salen del interface de red los paquetes y entran por la LAN pero no salen por el RED_SCH.
Tengo las siguientes reglas anexas a este post.

Gracias por vuestra ayuda.
« Last Edit: March 21, 2015, 09:56:30 am by bellera »

Offline bellera

  • Moderator
  • Hero Member
  • *****
  • Posts: 5569
  • Karma: +117/-51
    • View Profile
Re: No logro routear entre dos redes.
« Reply #1 on: March 20, 2015, 02:01:14 pm »
Las preguntas "de siempre":

* Supongo que las interfases LAN y RED_SCH están sin una puerta definida. Error frecuente poner una Gateway en interfases LAN. Sólo deben tener puerta las interfases WAN.

* ¿Los equipos en RED_SCH tienen como puerta la interfase RED_SCH de pfSense?

* ¿Los equipos en RED_SCH tienen cortafuegos por software activado? ¿Admiten que se les pinguee desde otra subred?

Offline CuninganReset

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: No logro routear entre dos redes.
« Reply #2 on: March 20, 2015, 02:07:56 pm »
Hola !! gracias por responder, las dos interfaces de red estan sin Gateway, los equipos de la red LAN tienen como Defailt Gateway la dirección IP de la Interface LAN.
De hecho, los equipos de la LAN acceden a internet a traves de las WAN y todo eso perfectamente y a otras subredes.
Lo unico extraño es que para poder hacer ping desde el equipo de LAN a la IP del interface RED_SCH tuve que meter la ruta manual.
Route add 169.254.0.0 MASK 255.255.0.0 172.16.1.1

He hecho una captura de paquetes en el interface RED_SCH desde el pFsense y no veo salir los paquetes hacia la red SCH

Es raro, me tiene muy liado.

Offline bellera

  • Moderator
  • Hero Member
  • *****
  • Posts: 5569
  • Karma: +117/-51
    • View Profile
Re: No logro routear entre dos redes.
« Reply #3 on: March 20, 2015, 02:34:40 pm »
No deberías usar rango clase B para enlace local, 169.254.0.0/16

http://es.wikipedia.org/wiki/Direcci%C3%B3n_de_Enlace-Local

http://es.wikipedia.org/wiki/Red_privada#Direcciones_de_enlace_local

https://forum.pfsense.org/index.php?topic=32651.msg168694#msg168694

http://tools.ietf.org/html/rfc3927#section-1.6

169.254.0.0/16 es un rango para direcciones privadas, pero está reservado. Un equipo que esté configurado por DHCP toma una dirección aleatoria dentro de este rango si no consigue una dirección de un servidor DHCP en la red. No es recomendable trabajar dentro de este rango.

(Véase http://www.ietf.org/rfc/rfc3330.txt y http://www.ietf.org/rfc/rfc3927.txt )
« Last Edit: March 21, 2015, 04:37:07 am by bellera »

Offline CuninganReset

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: No logro routear entre dos redes.
« Reply #4 on: March 20, 2015, 02:47:51 pm »
Gracias!! Entonces entiendo que no puedo lograr que me pase los paquetes de un interfaces a otro ni aunque use Nat o algún truco.
Es que la red 169.254.0.0/16 ya existía de antes, la instaló una empresa subcontratada antes de que yo llegara, yo gestionó la Lan y ha surgido la necesidad de interconectarlas ahora.
En la red Sch hay equipos de medida de energía y no puedo cambiar las direcciones IP.
He intentado que fucione con Nat pero tampoco.
La verdad que me han dejado un buen mochuelo.
Gracias por todo, si se te ocurre algún modo de comunicarlas...

Offline ptt

  • Hero Member
  • *****
  • Posts: 2233
  • Karma: +374/-45
    • View Profile
Re: No logro routear entre dos redes.
« Reply #5 on: March 20, 2015, 03:51:18 pm »
Muéstranos cómo "probaste con NAT" ?

Offline CuninganReset

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: No logro routear entre dos redes.
« Reply #6 on: March 20, 2015, 03:53:46 pm »
Hice un "Outbound NAT" en el interfaz de La red Sch, pero tampoco sirve porque los paquetes los descartan.

Offline ptt

  • Hero Member
  • *****
  • Posts: 2233
  • Karma: +374/-45
    • View Profile
Re: No logro routear entre dos redes.
« Reply #7 on: March 20, 2015, 03:58:34 pm »
No tendrás activada la opción "Block bogon networks" en LAN / RED_SCH ?

A ver cómo tienes el NAT ?
« Last Edit: March 20, 2015, 04:02:31 pm by ptt »

Offline CuninganReset

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: No logro routear entre dos redes.
« Reply #8 on: March 20, 2015, 04:02:45 pm »
No entiendo muy bien lo que me intentas explicar, el "Outbounf NAT" para los WAN lo tengo aplicado al WAN, no se como dices que lo haga, ¿me lo explicas?
No tengo activado lo de "Bogon Network".
« Last Edit: March 20, 2015, 04:32:19 pm by bellera »

Offline ptt

  • Hero Member
  • *****
  • Posts: 2233
  • Karma: +374/-45
    • View Profile
Re: No logro routear entre dos redes.
« Reply #9 on: March 20, 2015, 04:18:37 pm »
De todas formas, hagas lo que hagas, no va a funcionar

Con "pfctl -sr" encuentras:

Code: [Select]

scrub on em2 all fragment reassemble
scrub on em0 all fragment reassemble
scrub on em1 all fragment reassemble
anchor "relayd/*" all
anchor "openvpn/*" all
anchor "ipsec/*" all

block drop in log quick inet from 169.254.0.0/16 to any label "Block IPv4 link-local"
block drop in log quick inet from any to 169.254.0.0/16 label "Block IPv4 link-local"

block drop in log inet all label "Default deny rule IPv4"
block drop out log inet all label "Default deny rule IPv4"
block drop in log inet6 all label "Default deny rule IPv6"
block drop out log inet6 all label "Default deny rule IPv6"


https://forum.pfsense.org/index.php?topic=82472


That's not a valid configuration. The fact Linux forwards link local doesn't mean it should work. It shouldn't. From RFC 3927:

Quote
An IPv4 packet whose source and/or destination address is in the
   169.254/16 prefix MUST NOT be sent to any router for forwarding, and
   any network device receiving such a packet MUST NOT forward it,
   regardless of the TTL in the IPv4 header.

http://tools.ietf.org/html/rfc3927#section-2.7

FreeBSD doesn't forward that traffic, the fact it goes outbound is a quirk, the reply hits the part of the OS that won't forward traffic that "MUST NOT" be forwarded per the RFC. I was recently contemplating putting in a block all 169.254/16 in and out rule in the back end.

You shouldn't be doing that, use RFC 1918 or the CGN 100.64.0.0/10 reserved space. Anything that follows RFCs isn't going to forward that traffic. Anything that does forward that traffic is broken.



It's hard coded into FreeBSD itself to not route that space, because it's not valid to do so. The NATed traffic just happens to bypass that check because it hits a "route-to" out which bypasses normal routing portions of the kernel, the reply doesn't and can't.

What you're attempting is fundamentally broken. The fact it ever worked should be written off, and you should implement a proper network.
« Last Edit: March 20, 2015, 04:36:31 pm by ptt »

Offline CuninganReset

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: No logro routear entre dos redes.
« Reply #10 on: March 20, 2015, 04:45:50 pm »
Pues me toca cambiar la IP a todos los cacharros de esa red, gracias por todo compañeros.
Por cierto tu eres el mismo Ptt que el Ptt del foro de Ubiquiti??
Por curiosidad, yo también estoy en el otro foro.

Offline ptt

  • Hero Member
  • *****
  • Posts: 2233
  • Karma: +374/-45
    • View Profile
Re: No logro routear entre dos redes.
« Reply #11 on: March 20, 2015, 04:52:36 pm »
Si, Cuningan, también andan por aquí  acriollo, azcarlos2 (ZAC ), infex987 .....  y seguro me estoy olvidando de algún otro compañero :D

Offline acriollo

  • Hero Member
  • *****
  • Posts: 645
  • Karma: +31/-0
    • View Profile
Re: No logro routear entre dos redes.
« Reply #12 on: March 20, 2015, 11:18:34 pm »
Asi es mi estimado ptt, Buena liga la que pasaste.  Se me hace que te las aprendes de memoria o ya te divorciaron por no estar en casa  por que como decimos en mexico eres "ajonjoli de todos los moles" jajajaja  ;D

Saludos!

Offline CuninganReset

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: [SOLUCIONADO] [NO USAR 169.254/16] No logro routear entre dos redes
« Reply #13 on: March 21, 2015, 01:34:55 pm »
¿Quien cambia los post en este foro a "solucionado"? ¿Se pueden dar algo parecido a "kudos"?

Offline bellera

  • Moderator
  • Hero Member
  • *****
  • Posts: 5569
  • Karma: +117/-51
    • View Profile
Re: [SOLUCIONADO] [NO USAR 169.254/16] No logro routear entre dos redes
« Reply #14 on: March 21, 2015, 04:18:18 pm »
El usuario que hace una intervención puede modificarla. Hay un límite de días para hacerlo pero no sé cuantos son.

El administrador/moderador del foro puede modificar cualquier intervención, separar intervenciones de un hilo o unir hilos.

Espero haber aclarado el tema.

Los usuarios deberíamos indicar que un hilo está SOLUCIONADO cuando el problema se ha descrito, se han hallado sus causas y ha quedado claro el proceso de resolución. Como que casi nadie lo hace, en algunas ocasiones me permito hacerlo. Disculpas si ello haya podido molestarte. Recuerda que tu mismo puedes cambiar el Subject de la primera intervención, si lo consideras necesario.

En ocasiones cambio también los Subject para que quede más claro de qué se habla.

Saludos

bellera
Moderador de este foro, https://forum.pfsense.org/index.php?board=10.0