Pfsense como configurar subredes?
-
Ninguna luz? espero haberme explicado bien… ???
Saludos
-
Oyes pozolero podrias poner una grafica de lo que menciones, me gustaria meterme en este problema ya que en mi caso no me ha tocado hacer todo esto, pero me gustan los retos, al parecer si es posible nomas ahi que embarrarse como puerco.
Saludos!!!
-
Oyes pozolero podrias poner una grafica de lo que menciones, me gustaria meterme en este problema ya que en mi caso no me ha tocado hacer todo esto, pero me gustan los retos, al parecer si es posible nomas ahi que embarrarse como puerco.
Saludos!!!
Con mucho gusto periko, solo dime bien que necesitas ver? Las imagenes del server que ya tengo montado en ubuntu y los valores que manejo ahi?
o necesitas la grafica de la topologia de red que necesito manejar? o las imagenes del pfsense que acabo de instalar?Por cierto, voy a molestarte con el tutorial de configuracion de squid en pfsense. Pero te mando mp, para preguntarte, vale?
Saludos y gracias por responder
-
Un panorama grafico que me ayude entender tu red.
algo que ayude a entender mejor tu topologia, una imagen dice mas que mil palabras!!!
-
Periko ahi esta la topologia de red que se esta manejando en la oficina.
Te explico:
En algunos casos se tienen equipos con tarjeta wifi y en otros solamente ethernet, en el diagrama puse 1 switch y unos AP por los que tienen wifi…
La direccion IP las reparte el servidor de pfsense de acuerdo con la mac de cada equipo.
Asi, cuando algun usuario de algun departamento este queriendo hacer de las suyas con el ultrasurf, proxpn, etc se sabe a que departamento pertenece y se envia un aviso al jefe de ese departamento.
Aparte obviamente se va a bloquear el puerto 443 para que los usuarios eviten usar programas tipo ultrasurf o algun otro como bittorrent que haga lenta la conexion a internet, ya que se disponen de recursos muy limitados y no se vale que vengan a querer descargar algo en horas de trabajo. Para eso existen los cafés internet ;)
-
por que no usas vlan mejor. bueno siempre y cuando tus switch soporten
-
por que no usas vlan mejor. bueno siempre y cuando tus switch soporten
Esa es mi duda, voy a buscar info sobre las vlan. Gracias dementekuatiko.
Voy a checar si mis switches lo soportan porque creo que son medio viejitos, de todos modos parece que vamos a cambiarnos de edificio y se va a meter cableado nuevo y/o equipos nuevos, tanto AP como switches. Voy a checar que marcas van a meter y mientras pasa esto, checare con mis switches. Son 3com, espero se pueda hacer esto que me comentas…
Saludos
-
Hola.
Oyes todos tus equipos van hacia una solo switch? ya que asi como lo quieres manejar necesitarias mas de una NIC y mas de 1 switch.
Otra cosa, como dice dementutakito(no las he usado) con vlans se pudiera siempre y cuando tu switches la soporten.
Ahora squid pueden controlarte mas de una subred, sinembargo, como te menciono nunca he usado vlans aqui no sabria como ayudarte.
Tu topologia se ve muy grande por como quieres manejar tu red:
172.16.1.0/x
172.16.2.0/x
172.16.3.0/x
172.16.4.0/x
172.16.5.0/xDices que son 80 estaciones,supongamos que fueran 100, con el rango 172.16.1.0/x puedes manejar todas tambien, ya que con el dhcp puedes manejar todo ese rango y asignar en base a su MAC las IP's fijas y asi tendrias como controlar tus rangos:
172.16.1.100 17.16.1.150 jefes
172.16.1.151 17.16.1.160 admin
etc.Ahora para la visita si pondria un AP separado de la red de la empresa:
172.16.2.x
Ya solo tendrias 2 redes.
Pero si deseas llevar a cabo tu plan no va a quedar otra que meterte con las vlans, creo yo, saludos!!!
-
Te comento como tengo el server en ubuntu, tengo asignados mediante el dhcp por medio de mac ips fijas, y de ahi en squid lo que hice fue hacer 1 archivo jefes y ahi vienen las ips que no van a tener bloqueo.
En el archivo del dhcp puse todas las mac tanto de jefes como de usuarios con algunos bloqueos… los rangos de jefes los puse sobre 172.16.0.100 al 150 y los usuarios con algunos bloqueos con ips del rango 172.16.9.1 - 172.16.9.254
Lo que quiero hacer es lo que me comentas por mac, asignar ip y con squid controlar cada una de las ip o rangos de ip... Creo que con lo que me pusiste si se puede lograr.
Otra cosa del servidor sale el cable a 1 switch y de ese switch reparto a algunos equipos y de ese mismo switch sale un cable que va a otro switch para repartir a las demas áreas...
Espero haberme explicado ;D
-
Siempre es mejor segmentar la red, mediante subredes/vlan, esto te ayuda por muchas razones, una de ellas obviamente es el dominio de boadcast, aunque también administrativamente te ayudará enormemente, por ejemplo a ordenar mejor tus archivos de configuración… no es lo mismo colocar un acl 192.168.0.1/27 (por ejemplo) y otro 192.168.1.1/24 que tener que hacer una lista de direcciones 192.168.0.1 ... hasta la 30 por ejemplo, sin mencionar si quiera la CIDR 24, o hacer un archivo de configuración con 30/200 lineas de direcciones IP... (claro que esto no sería problema usando un "for > archivo" en una cónsola linux ;) ).
Creo que tu opción es usar VLANs como ya te han mencionado, y por sugerencia... no esperes a saber qué van a comprar, sugiere que lo que vayan a comprar soporte ******* con un informe técnico y esto te ayudará a mitigar futuros inconvenientes con hardware "nuevo" que no soporte Vlans por ejemplo (un SW SOHO por ejemplo).Saludos.
-
Siempre es mejor segmentar la red, mediante subredes/vlan, esto te ayuda por muchas razones, una de ellas obviamente es el dominio de boadcast, aunque también administrativamente te ayudará enormemente, por ejemplo a ordenar mejor tus archivos de configuración… no es lo mismo colocar un acl 192.168.0.1/27 (por ejemplo) y otro 192.168.1.1/24 que tener que hacer una lista de direcciones 192.168.0.1 ... hasta la 30 por ejemplo, sin mencionar si quiera la CIDR 24, o hacer un archivo de configuración con 30/200 lineas de direcciones IP... (claro que esto no sería problema usando un "for > archivo" en una cónsola linux ;) ).
Creo que tu opción es usar VLANs como ya te han mencionado, y por sugerencia... no esperes a saber qué van a comprar, sugiere que lo que vayan a comprar soporte ******* con un informe técnico y esto te ayudará a mitigar futuros inconvenientes con hardware "nuevo" que no soporte Vlans por ejemplo (un SW SOHO por ejemplo).Saludos.
Muchas gracias por la ayuda, voy a checar esa opcion que me dices… Saludos