2 pfsense en una red
-
Hola amigos como estan, ya tenia bastante tiempo de no visitar el foro, y para variar un poco tengo una inquietud que quiero saber si me pueden ayudar a resolver.
en mi red actualmente tengo 1 pfsense funcionando de lo mejorcito con sus respectivas reglas en la cual tengo una dirección publica por ejemplo 10.10.10.1 gateway 10.10.10.2 y dns 20.20.20.4 la direccion de mi lan es 172.16.0.8.
ahora bien, necesito colocar otro pfsense al cual el pfsense1 le de internet y que me sirva de proxy unicamente, mi idea primordial es dejar el 1 como firewall e IDS/IPS, y el segundo como proxy exclusivamente, el problema es cuando pongo una direccion del rango de la LAN en la wan del pfsense 2 no se conecta al internet. la verdad ya me enrede con tanta direccion y por eso les pido su ayuda para orientarme un poco.
Saludos
-
:) hola pablo…
por fa envía un esquema de tu red o un gráfico para entender mejor lo que deseas hacer
-
10.10.10.1 gateway 10.10.10.2 y dns 20.20.20.4 la direccion de mi lan es 172.16.0.8
192.168.0.1/24 LAN pfSense2 172.16.0.2/24 WAN –-- 172.16.0.08/24 LAN pfsense1 10.10.10.1 WAN –-- 10.10.10.2 gateway
Esto no debería ser problema. Puedes encadenar tantos enrutadores como desees, respetando siempre que LAN/WAN sean subredes distintas entre sí y que se haga NAT OutBound (es decir traducción de las parejas IP LAN + puerto a IP WAN + puerto).
Olvidé que en el ejemplo la gateway (para la WAN) de pfSense2 tiene que ser la LAN de pfSense1.
-
10.10.10.1 gateway 10.10.10.2 y dns 20.20.20.4 la direccion de mi lan es 172.16.0.8
192.168.0.1/24 LAN pfSense2 172.16.0.2/24 WAN –-- 172.16.0.08/24 LAN pfsense1 10.10.10.1 WAN –-- 10.10.10.2 gateway
Esto no debería ser problema. Puedes encadenar tantos enrutadores como desees, respetando siempre que LAN/WAN sean subredes distintas entre sí y que se haga NAT OutBound (es decir traducción de las parejas IP LAN + puerto a IP WAN + puerto).
Olvidé que en el ejemplo la gateway (para la WAN) de pfSense2 tiene que ser la LAN de pfSense1.
Gracias Bellera por contestar, voy a probar y en breve les contare como me fue, y voy a tratar de postear un diagrama para que luys entienda que es lo que quiero hacer..
Saludos.. y gracias por la pronta respuesta
-
Ok amigos hice lo que me indicaron y en este momento ya tengo configurados los 2 pfsense, y de hecho en el pfsense que quiero poner de proxy ya cuenta con internet desde el primero.. ahora bien…cuando configuro un cliente para que salga por este proxy no lo hace.. simplemente no sale y es un problema de dns, he tratado de hacer lo que me indico Bellera en NAT Outbound pero no hayo la opcion o la forma de como relacionar al uno con el otro.
si pueden hecharme otra manito se los agradecere.
-
El NAT Outbound lo puedes dejar en automático en cada pfSense. No tiene nada que ver con el problema que tienes.
Cada pfSense debe tener en System - General Setup - DNS servers los servidores DNS externos que quieras emplear. Serán los recomendados por tu proveedor de Internet u otros.
En el pfSense más cercano a Internet tendrás que dejar pasar el tráfico TCP/UDP puerto de destino 53, para que el pfSense de dentro pueda resolver.
En el pfSense más interno puedes o no autorizar la salida a TCP/UDP puerto de destino 53. Si activas el DNS Forwarder y el DHCP en LAN pfSense hará de DHCP y DNS a la vez. En este caso debes permitir TCP/UDP con destino LAN Address y puerto 53. Restringiéndolo así ningún equipo podrá consultar DNS externos, si te interesa que sea así.
Espero haberme explicado…
-
Olvidé…
Si tienes dudas/problemas con la estructura pruébala primero con los 2 pfSense y el proxy desactivado.
Una vez funcione todo implementa el proxy.
Paso a paso...
-
Ok Bellera muchas gracias por tu ayuda lo hice tal y como me indicaste y ahi estamos trabajando ya, perdon por el atraso en la respuesta pero no habia podido ingresar al foro.. gracias por el apoyo..todo esta en orden.
Olvidé…
Si tienes dudas/problemas con la estructura pruébala primero con los 2 pfSense y el proxy desactivado.
Una vez funcione todo implementa el proxy.
Paso a paso...
