VLAN s en PfSense 1.2 y 3Com 2924-SFP Plus. Sistema Voice VLAN. Parte 1.

El swicth gestionable que compramos hace unos meses ha estado funcionando hasta ahora con la configuración de fábrica. La idea con la que se adquirió era la de separar la red de voz de las de datos y poner teléfonos IP de calidad para los puestos de trabajo. Tras hacernos con un pequeño chollo por eBay, 5 teléfonos Cisco 7906G nuevos por 250€, me he puesto manos a la obra a luchar contra este rollo de las VLAN, completamente nuevo para mi en la práctica.

Con ayuda del amigo Vicent, que a veces deja algún comentario por aquí, empecé a darle forma al asunto y en pocos días tuve un proyecto definido. Vamos a definir 5 VLANs para los diferentes chismes que tenemos en la oficina:

  • Workstations
  • Servers
  • VoIP
  • IPCams
  • WiFi

Intentaremos estar offline el menor tiempo posible, por lo que primero de todo vamos a meternos en el PfSense para definir las VLANs. Este proceso requiere reiniciar el firewall, así que es recomendable hacerlo primero y todo de una vez.

El sistema es sencillo de entender. Bajo una interfaz física vamos a definir interfaces “lógicas” que van a funcionar como si fueran físicas, algo así como las particiones de los discos duros. Cada VLAN tiene un identificar numérico y una descripción en texto. No hay gran misterio en el asunto.

vlan_01vlan_02vlan_03

Hemos definido nuevas interfaces y cada una tiene sus opciones:

  • IP fija o DHCP.
  • Puerta de enlace de la red, para sacar el tráfico por ella en lugar de por la WAN (útil para MultiWAN).
  • Modo Bridge…

vlan_04vlan_05

Ahora debemos hacer lo mismo en el switch. En el caso de la VLAN destinada a tráfico de voz, disponemos de una opción especial de automatización en el modelo de switch que vamos a tratar. Se trata de una funcionalidad que también existe en Cisco y que resulta bastante útil. Pero antes de nada, debemos definir la VLAN. Accedemos a la configuración del switch, en este caso por web, y dentro del menú DEVICE – VLAN creamos las VLAN exactamente igual que en el firewall, dándoles el mismo identificador numérico y de texto.

vlan_06

A continuación configuraremos los puertos del switch que van a pertenecer a cada VLAN. La diferencia entre tagged y untagged se puede resumir sencillamente en que en los puertos tagged se etiquetan los paquetes con su identificador numérico correspondiente, por lo que solamente es necesario definirlos cuando esos puertos van hacia un router o similar.

vlan_07

En el caso de la imagen, tenemos ocho puertos untagged que corresponden al servidor Elastix y a los teléfonos IP. El puerto 24 está configurado como tagged porque está conectado al PFSense. Este puerto pertenecerá y permanecerá como tagged para todas las VLAN que queramos gestionar y que hayamos definido en nuestro Firewall.

La funcionalidad de automatización de la que hablaba antes la encontramos dentro del menú DEVICE – QoS – VOIP Traffic Setting. Consiste en configurar puertos de manera que añadan automáticamente a la red de voz dispositivos específicos, identificados por su OUI (tres primero pares de la MAC). De esta manera, si conectamos un teléfono IP (previa inserción de su OUI en la tabla) a un puerto que no pertenece la VLAN de voz, el switch lo añadirá automáticamente. Está explicado de manera sencilla en el documento oficial de 3Com.

vlan_08

11 Responses to “VLAN s en PfSense 1.2 y 3Com 2924-SFP Plus. Sistema Voice VLAN. Parte 1.”

  1. vicent  on Marzo 10th, 2009

    ToIPMania jejeje faltan los tirafondos!
    Trabajo bien hecho si señor, cada vez me sorprende más el pfsense este.
    Hubiera molado que los 7906G tuvieran miniswitch para en una toma de pared usar telefono y pc. Por pedir… :-P
    No es por nada pero te estas transformando en gurú XDDD SALU2

  2. otrejo  on Marzo 10th, 2009

    Y como haces cuando utilizas softphone????, tendrías que configurar los UDP???

  3. Ximo  on Marzo 10th, 2009

    Ese tipo de configuraciones las dejé para una segunda parte del artículo. Para que un PC con softphone se comunique con la red de voz necesitas crear reglas adecuadas en el firewall. Dependiendo de si el softphone es SIP o IAX tendrás que permitir el tráfico UDP o TCP entre los puertos que usan estos protocolos.

  4. llargotuejar  on Marzo 26th, 2009

    Hola Ximo, tu artículo me dio pie a hacer algo parecido en mi empresa y estamos en ello. Tenemos un firewall d-link muy viejecito y queremos hacer algunas VLAN porque tenemos el rango saturado.

    Tengo un switch gestionable Netgear básico, VLAN por puerto y poco más, pero gracias al pfSense puedo montarme la paraeta. Lo bueno es que las tarjetas de giga que tengo, unas Netgear GA311GE, son compatibles gracias a su chipset Realtek 8169S, toda una alegría que me he llevado :D porque no las encontraba en la lista de compatibilidad del pfSense. Ya te contaré.

  5. dehylus  on Marzo 27th, 2009

    Todo bien, esepto por las reglas que hay que colocar en el firewall?, hize algunas, pero no tengo trafico hacia las vlans, cuando los log del firewall me doy cuenta que bloquea cualquier cosa que venga de las vlans, que esta pasando, pueden poner una imagen como las de arriba con unas reglas basicas??, saludos.-

  6. llargotuejar  on Marzo 31st, 2009

    Dehylus igual tienes que crear algunas rutas estáticas hacia esas VLAN para que envie tráfico.

  7. Ximo  on Marzo 31st, 2009

    Esto es lo primero que se te debería ocurrir… pero no es así! Nunca hay que crear rutas estáticas entre interfaces conectadas a PFSense. Lo que yo suelo hacer es crear reglas permitiendo todo el tráfico y si funciona todo correctamente, restringir a nuestras necesidades.

  8. llargotuejar  on Abril 1st, 2009

    Pues ya tengo todo un cluster de pfsense con 2 maquinas idénticas. Un lujazo este firewall, va como la seda. Ahora al siguiente paso, a compartir carga.

    Si Ximo, las rutas estáticas en verdad sirven para alcanzar otros routers, redes no?

  9. Ximo  on Abril 1st, 2009

    Me alegro mucho de que PFSense te haya servido. El tema de compartir carga no lo tengo controlado, ya me contarás cuando esté en marcha.

    Las rutas estáticas sirven para especificar la puerta de enlace para una red en concreto. Se pueden definir tanto en la interfaz de un cliente como en un router.

    Un saludo y muchas gracias por tus comentarios.

  10. rapzo  on Abril 29th, 2010

    Saludos.

    Una pregunta como hago mi VLAN para que mi propio switch 3com 2924, me genere de forma dinamica los IP

  11. Ximo  on Junio 1st, 2010

    Un switch, por lo general, no es un dispositivo que tenga la funcionalidad de asignar IP’s. Para esta tarea, si vas a usar PFSense, lo ideal es que el mismo PFSense tenga activado el servidor DHCP en la interfaz virtual (VLAN). Si no quieres usar el DCHP de PFSense puedes usar un servidor Windows o un Linux para hacer esta tarea.

Leave a Reply