BFW Firewall & Router

[hvvilla]

Saludos estoy reemplazando un BFW2.31.10 por un BFW3, pero tengo el siguiente problema

En el 2.31 configuro en firewall, la lista de mac permitidas, algunas de estas mac las amarro por ip/mac, pero otras corresponden a CPE del tipo engenius que tienen ip fija y no pasan por el dhcp, esto en 2.31 me funciona perfectamente pero en BFW3 coloco en el archivo de reservas ip la ip (fija) q tiene el engenius y su mac e igual el brazil no les da servicio, pareciera que si no es resuelta la ip por el dhcp este no les permite el acceso al servidor, por ejemplo desde el engenius los ping al brazil no responden, y lo contrario si funciona, para mi el filtrado por mac no esta dejando pasar la mac del equipo, como puedo solucionar esto, el rendimiento de mi red ha mejorado mucho con 3.x no me gustaria tener q regresarme. gracias por sus comentarios

[ipwifi01]

no entiendo bien tu pregunta. Formule bien su pregunta, y si es posible use un diagrama.

[nclaria]

Hola. Habilitaste las IP's en el QOS ? ? ? Si es que usas QOS
Saludos.

[hvvilla]

Tratare de explicarme nuevamente tengo el siguiente escenario:

Clientes inalambricos, todos con tarjetas inalambricas y con IP dinamica dada por brazil
Clientes inalambricos, con equipos EPC Engenius EOC1650, estos equipos tienen IP fija y en la configuracion tienen como puerta de red predeteminada y como servidor dns la ip del brazil
Clientes por cable

Este servidor en brazil 2.31 trabaja perfectamente con filtrado por mac, simplemente en el firewall simple coloco las mac de todos los clientes ya sean por cable, por inalambricos con tarjeta de red pci por los que tienen equipos eoc coloco la mac de la conexion inalambrica de dichos equipos.

En reservas de amarre de ip/mac y reserva de dhcp, tengo listados todos los clientes q estan pegados por cable y los que tienen tarjeta pci inalambrica, el servidor siempre les da la misma ip a cada uno. Ahora bien los equipos EOC no esta en reservas ni en amarre de ip/mac ya que tienen ip fija en la interface inalambrica que es la que conecta con mi brazil. En el qos estan todos las ip definidas. En el dhcp tengo el siguiente rango:
192.168.50.65 192.168.50.95 que es suficiente para atender a los clientes q piden ip al servidor, las ip de los equipos eoc que estan fijas van del intervalo de 192.168.50.135 a 192.168.50.155

Esto tienen años funcionando bien de esta forma, ahora quiero cambiarme a bfw 3 porque en las pruebas q hice mejora mucho el rendimiento de la red y hago lo siguiente:

Defino todas las ip en el qos desde 192.168.50.65/95 y 192.168.50.135/155
Coloco en el archivo de reservas reserve.cfg todas las mac q estan en mi red:

192.168.50.65 xx:xx:xx:xx:xx:xx
...
192.168.50.95 xx:xx:xx:xx:xx:xx

luego coloco las mac de los equipos eoc, que no obtienen direccion dhcp del servidor ya que me interesan que esten fijas para poder llegar a ellos en cualquier momento

192.168.50.135 xx:xxx:xxx:xx:xx
...
192.168.50.155 xx:xx:xx:xx:xx:xx

los coloque en este archivo y de esta forma porque no se si bf3 tienen una lista blanca de direcciones mac para q el firewall las deje pasar

al hacer esto solamente los clientes que obtienen la ip desde el servidor de dhcp del brazil navegan los demas que son los equipos q tienen ip fija no tienen acceso al brazil
por ejemplo desde cualquier cliente por dhcp puedo hacer ping a mi brazil y este contesta
pero desde un eoc intento hacer ping al brazil y no obtengo respuesta, esto me indica que bfw no esta atendiendo a este equipo, es decir lo tiene como si estuviera bloqueado

Debo decir q trabajo con bfw virtualizado, entonces apago la maquina de bfw3 y prendo la de bfw2 y todo funciona correctamente de nuevo asi que pienso q el problema es de configuracion en mi bfw3

Si en brazil 3 hubiera una lista blanca de mac tal cual como en el firewall de bfw2 creo que se solucionaria el problema

Uso brazil 3.0.253

saludos

[ipwifi01]

intenta colocar tu ap en "AP WDS" y tus clientes en tus engenius en (STATION WDS).

[hvvilla]

El equipo central esta en AP y los clientes en Cliente-Router, esto tiene dos años trabajando asi, ahora quiero cambiar a bfw3 y me encuentro con que el problema es que BFW3 no tiene una lista blanca de mac, por lo visto solo deja pasar las mac que estan asociadas en reserva de ip/mac, pero tengo equipos que tienen ip fijas y por lo tanto no les da ip el dhcp del brazil, por lo pronto tuve q desactivar la maquina virtual de bfw3 y dejar la de bfw2

Seria bueno que BFW3 trabajara en este aspecto igual q su atensesor, con una lista de blanca de mac, sin ser necesario el amarre ip/mac

No quisiera tener que cambiar la configuracion de los equipos porque son 25 equipos distribuidos en un radio de 2.5kms a la redonda y no quisiera tener q visitar uno por uno si cambio la configuracion remoto tengo el riesgo de que se desconecten.

Como lo dije en mi post anterior, el problema es que el servidor bfw3 no me deja pasar la mac a pesar de estar en el archivo de reserve.cfg

[ipwifi01]

si te entiendo, pero por que los tienes cliente router, por que no los dejas solo en bridge y les asignas ip con brazilfw.

[hvvilla]

Los tengo cliente router porque me parecio lo mejor, asi para efectos del brazil el cliente es unicamente el equipo de suscripcion del cliente. Si el cliente desea colocar un router en su casa es su decision o si conecta el cable directo a la pc es su decision, o si de repente formatea el equipo, cambia de pc, o simplemente trabaja formateando equipos de los demas no tengo ningun rollo por alli porque para efectos mios el cliente sigue siendo el equipo suscriptor. Le controlo el ancho de banda a la ip del equipo y controlo la cantidad de ip que el dhcp del equipo reparte, de por si, solo reparte 1 direccion ip.

Con respecto a que pueden colocar un router y conectar n computadoras, no veo ningun problema, eso es lo que hacemos todos cuando contratamos algun servicio con algun proveedor de internet, conectamos un router inalambrico para la pc de escriotio, la portatil y uno que otro telefono.

El problema seria entonces como darle una lista blanca de mac al bfw 3

[ipwifi01]

ok hvvilla, vamos paso a paso para resolver tu problema.

Agamos las siguientes pruebas:
-desactiva el amarrado de ip y mac de tu brazilfw y prueba si existe navegacion.

en cuanto a las configuracion de tus clientes con eoc como son:

Aqui voy hacer un ejemplo

mi subred es asi 192.168.100.0/24 (puerta de enlace 192.168.100.1

tengo nanos con
ip:192.168.100.4
mask:255.255.255.0
dns:192.168.100.1

estan en estation wds

con mi brazilfw le asigno la ip a la maquina del cliente ejemplo 192.168.100.150 xx:xx:xx:xx:xx

en el amarrado de ip y mac va esa ip que seria 192.168.100.150 xx:xx:xx:xx:xx y en el qos esa ip.

[ipwifi01]

te doy un ejemplo para que logres explicarme mejor y asi poder recrear tu situacion.

[hvvilla]

Ok te doy mi configuracion:

Brazil:

IP 192.168.50.1
MaskÑ 255.255.255.0

De alli sube a mi ap de distribucion que tiene ip 192.168.50.245

Los clientes tengo dos tipo, unos con tarjeta inalambrica y otros con eoc,

los de tarjeta tienen ip dinamica y mi brazil les da ip correctamente
los que tienen eoc este esta instalado en modo cliente router y tiene una ip fija

192.168.50.135
255.255.255.0
gateway 192.168.50.1
dns 192.168.50.1

en la interface lan tiene ip 10.10.1.1
dhcp: 10.10.1.100 10.10.1.100 ( 1 sola ip)

el cliente que esta detras del eoc toma ip
10.10.1.100
255.255.255.0
gateway 10.10.1.1

en el brazil (2.31.13rc)
tengo la mac los clientes por tarjeta en amarre ip/mac (dhcp)
y en el firewall simple tengo todas las mac (tarjetas y eoc) en la lista blanca de mac
la mac de los eoc que tengo registrada en el brazil es la que corresponde a la interface wan de los eoc
desde el eoc hago diagnostico haciendo ping a 192.168.50.1 y contestan perfectamente

luego en bfw3
puse en amarre ip/mac a todos los clientes por tarjeta inalambrica con sus respectivas mac e ip
el dhcp esta en el intevalo 192.168.50.65 192.168.50.95
entonces cada clientes de tarjeta de red inalambrica toma una ip y todo ok
como no tengo una lista blancas de ip coloque en reserva de ip/mac:

192.168.50.135 xx:xx:xx:xx:xx:xx (la mac del eoc)

porque supuse que no le daria ip automatica puesto que no esta en el rango del dhcp, pero que como esta en la lista la mac la dejaria pasar

me conecto al eoc por su ip 192.168.50.135

voy a mantenimiento
y hago ping a 192.168.50.1 y todos los paquetes se pierden hay 0 respuestas desde el brazil

poresto asumo que es que simplemente la mac no la esta dejando pasar brazil la tiene bloqueada

por la mañana probare lo que comentas de desactivar el amarre de ip/mac y ver si funciona, llevo dos dias full tratando de resolver este problema. gracias por tus comentarios

[ipwifi01]

prueba con un solo cliente ahorita ponerlo en cliente wds y tu ap wds no vas a tener ninguna desconexion.

[hvvilla]

Bueno logre solucionar parcialmente el problema, habia pasado un pequeño detalle, que era definir las ip estaticas de cada equipo eoc en el qos, al hacer esto conectaron correctamente con el control por mac activado, ahora el detalle que tengo son con dos clientes que tienen nanostation, que no logro que hagan ping al servidor, en ninguno de los dos sentidos, es decir, ni del nano al brazil ni del brazil al nano a pesar de estar conectados correctamente ya que puedo llegar a ellos a traves de la lan inalambrica, cuando hago ping al ap contestan pero ping al brazil nada q ver, supongo que estoy pasando algo por encima en la configuracion de estos equipos, estare revisando. Gracias por tus comentarios

[ipwifi01]

hola hvvilla, deberia ser lo mismo en el nano , intenta amarrando una ip con la mac del nano y prueba.

[ipwifi01]

hvvilla, resolvistes?

[hvvilla]

No amigo, no hay forma que los nano conecten al servidor, me parece sumamente extraño, hacen ping al ap, pero al servidor no, ya tengo configurada todas las direcciones mac y las ip en el brazil, lo que voy a hacer este lunes es reiniciar los equipos y volver a hacerles la programacion paso por paso, no se que puede estar pasando pero estoy seguro que estoy pasando algo por alto, no tiene sentido que los eoc funcionen y los nano no, luego de hacer la prueba comento. Saludos

[ipwifi01]

hola hvvilla, te comento que recree tu escenario y funciona perfectamente.

te indico lo que hice:

primero amarre la ip con la mac MAC WLAN ejemplo 192.168.10.6 xx:xx:xx:xx por que hay que recordar que el nano tiene 2 mac , la mac lan y la mac wlan que es la que tu necesitas amarrar con tu servidor.

luego me voy para la network del nano

[hvvilla]

Hola ipwifi01, gracias por tus comentarios, despues de mucho revisar di con el problema

El detalle es que (y solo sucedio q estos dos clientes que casualmente tenian nano y todo los demas eoc)

Tenia en amarre de ip/mac la mac wlan del nano contra una ip definida en el qos del brazil, pero esta ip a pesar de estar definida en el brazil qos, no era la misma que tenia definida el nano

es decir, el nano tenia ip 192.168.50.6 AA:BB:CC:DD:EE:FF

y el amarre ip mac deciea 192.168.50.71 AA:BB:CC:DD:EE:FF

la ip .71 estaba definida en el qos con sy subida y bajada y la 192.168.50.6 tambien estaba definida en el qos con su subida y bajada

esto era lo que no permitia que el nano se conectara a brazil, en el brazil2 no tenia este problema puesto que al ser ip fija no la coloque en los amarres de ip/mac sino solamente en la lista blanca de mac
por esta razon es que me funcionaba en uno y no en el otro
Muchas gracias por tus comentarios, me sirvieron de mucho
Saludos