International Forums > Italian - Italiano

Routing statici in LAN

(1/1)

Merlyno:
Buonasera a tutti,
forse sarò io che sono abituato all'utilizzo dei cisco, ma ho un grosso problema che non riesco a risolvere, con i semplici routing:
la mia rete è formata così

Mia LAN: 192.168.65.0/224
router internet 192.168.65.1
Centrostella 192.168.65.10
router verso LAN remotoe: 192.168.65.5
LAN remota1: 192.168.75.0/24
LAN remota 2: 192.168.76.0/24

Voglio che OPNsense lavori con una scheda di rete e che possa gestire anche il traffico delle 2 reti remote.

quello che ho impostato è:
Gateway LAN (upstream) per OPNsense: 192.168.65.1
Gateway LAN (non upstream) per le reti remote: 192.168.65.5

In instradamenti:
rete remote 192.168.75.0/24 gateway 192.168.65.5.
rete remote 192.168.76.0/24 gateway 192.168.65.5.

purtroppo, OPNsense non raggiunge nessuna delle due reti remote, ma va tranquillamente su internet.

Se tolgo il flag da "upstream" da entrambe le reti, allora OPNsense non va su internet ma vede solo i segmenti remoti.
Se metto il fleg su upstrim suo gateway 192.168.65.1 (anche se ci sono gli instradamenti attivi) OPNsense si collega ad internet ma non si collega ad i segmenti remoti; viceversa, se imposto l'upstream su 192.168.65.5, OPNsense, vede le LAN remote ma non vede più internet.

Non so più che fare, è come se gli instradamenti non funzionassero come mi aseptto.

Ho provato anche ad effettuare la stessa configurazione con 2 schede di rete: una WAN ed una LAN, collegando il router internet sulla WAN e staccandolo dalla mia LAN, ma ottengo sempre lo stesso risultato: o vado su internet o vedo i segmenti remoti 75 e 76.

Qualcuno riuscirebbe a darmi una mano?  :'(

Vi ringrazio in anticipo infinitamente.

Merlyno:
Buongiorno,
dopo un po' di lettura di documentazione e di ricerche su internet sono riuscito a risolvere il problema da solo.
Dopo 46 visualizzazioni del post mi aspettavo che qualcuno mi desse l'imboccata giusta, ma così non è stato.
Spero di essere d'aiuto a qualcuno con questo post, nel caso riscontrassero la stessa anomalia.

In pratica funziona in questo modo:
I Gateway vanno aggiunti impostando una Priorità, indicando un numero da 1 a 255, dove il numero più basso è il più importante.
L'upstream si setta solo per indicare ad OPNsense qual'è la default route e possono esserci può upstream settati che possono funzionare da bilanciatori o per altre funzioni di alta affidabilità (nel mio caso non è usato l'upstream ma ho solo utilizzato le priorità impostando 254 per la defaultroute).
Una vota indicato il gateway, va (o vanno, se sono più rotte da aggiungere) quindi settata la rotta statica nel menù SISTEMA->INSTRADAMENTI->CONFIGURAZIONE.
Gli instradamenti (o routing statici, come si preferisce dire), vanno inseriti a sentimento, cioè indicando il segmento di rete ed uno dei gateway inseriti in precedenza.

ESEMPIO:
Facciamo conto che la rete è 192.168.1.0/24 e che si abbia un altro segmento remoto che sia 192.168.2.0/24 e che questo segmento sia raggiungibile tramite l'IP 192.168.1.5.
Avrò una gateway che punta al 192.168.1.1 per il traffico internet, ed avrò una secondo gateway che punta al 192.168.65.5 per il traffico verso la rete 192.168.2.0/24; creerò poi una rotta statica che è del tipo 192.168.2.0/24 e con gateway 192.168.1.5.

Fatta in questo modo, io mi aspettavo che funzionasse, essendo un instradamento dietro la LAN, ma invece non funzionava, ed ho capito che andava modificata una regola del firewall.
Non capivo perché funzionasse in quel modo, perché abituato ad Endian Firewall, non avevo bisogno di impostare regole del firewall per i segmenti instradati a mano.

Ad ogni modo, la regola del firewal va creata in: FIREWALL->REGOLE->LAN e va creata una nuova regola dove DIRECTION va settato in OUT; DESTINATION va settato su "Single host or Network" su 192.168.2.0/24 ed il nome della regola a piacere, tanto non viene elaborato.
Salvare ed applicare la regola e provare un ping verso un qualunque host presente sul secondo segmento, dovrebbe funzionare tutto.
Ovviamente questo va ripetuto per ogni segmento remoto da raggiungere, o magari raggruppare con le subnet i segmenti e creare una sola regola ed un solo routing per fare prima.

Spero di essere stato più chiaro possibile nella spiegazione. :-D

Navigation

[0] Message Index