2 Lans, 3 Wans com PfSense e Captive Portal

helberttavares

Boa noite!
Pessoal sou novo por aqui…

Estou com um problema.
Quero implantar o PfSense na minha empresa. Ja estou fazendo testes em laboratorios mas não consigo configurar as minhas redes da forma correta.

O meu cenario é o seguinte:
WAN - 3 links, sendo 2 Net Virtua e 1 Mpls.
Lan - 2 redes.

1ª Lan- 192.168.2XX.XXX
2ª Lan - 192.168.1.0

Quero colocar Captive Portal com servidor Radius para a 2ª Lan.
Ja tenho um DHCP no Windows Server 2003 para a 1ª Lan e um Server 2003 para a 2ª Lan.

Tenho um servidor com 5 placas de rede físicas para o PfSense e pretendo fazer Load Balancer.
Qual seria a forma correta para configurar as duas redes, sendo que somente a 1ª Lan pode navegar pelo link Mpls e as duas Lans tem que ficar isoladas..????

gelemeurer

Laboratório é ótimo para simular e conhecer os serviços do pfsense. Já vi muitos tópicos aqui no fórum sobre como direcionar a saída para uma determinada wan. E para isolar as lans você pode usar regras no firewall ou mesmo vlans.

johnnybe

@Meurer:

Laboratório é ótimo para simular e conhecer os serviços do pfsense.

Exato! Virtualização está aí para coisas assim. Dentre outras. :)
Contudo, num laboratório real, a coisa fica mais clara.

Uma boa pesquisa aqui, vai ajudar:

http://doc.pfsense.org/index.php/Main_Page

johnnybe

Multi WAN:

http://doc.pfsense.org/index.php/Multi-WAN_2.0

Multi LAN:

http://doc.pfsense.org/index.php/Multi-LAN_Setup

marcelloc

helberttavares,

Bem vindo ao fórum. :)

Tudo o que você quer fazer, está disponível nativamente no pfsense, você não precisar de nenhum pacote adicinal(por enquanto ;))

Siga as dicas já postadas aqui e lembre-se sempre de pesquisar no fórum, esta questão de balanceamento e controle por interface já foi bem discutida por aqui.

Uma dica adicional que pode facilitar sua implementação e uma possível redundância é usar vlans(com interface gigabit) no lugar de várias placas de rede. Diminui os possíveis conflitos de irq e facilita a busca por uma máquina de backup.

att,
Marcello Coutinho

helberttavares

Pessoal, obrigado pelo retorno.

Li vários tópicos procurando algum próximo do que eu preciso.
Como estou com um servidor com 5 placas de rede parado, achei melhor iniciar nele do que em um laboratório virtual.

Bom, já tive o 1º problema.
Tenho duas redes e de forma alguma elas podem se comunicar.

Wam - 186.xxx
Lan_1 - 192.168.1.18
Lan_2 (Opt1) - 192.168.238.80

criei uma regra de bloqueio na Lan_1, origem Lan_1 destino Lan_2 e na Lan_2 a mesma regra só que ao contrario.

Quando dou um ping da Lan_1 para a Lan_2, tenho resposta, já da Lan_2 para a Lan1 não.

Alguém pode me ajudar?

marcelloc

@helberttavares:

Quando dou um ping da Lan_1 para a Lan_2, tenho resposta, já da Lan_2 para a Lan1 não.

Não tem nenhuma regra antes liberando o trafego/ping?

helberttavares

Na verdade ficou desse jeito:

LAN_1.jpg_thumb

LAN_2.jpg_thumb

marcelloc

Na lan1 você bloqueou todos os protocolos e na lan2 você só bloqueou tcp

helberttavares

Obrigado Marcelloc.

Eu já havia visto o meu equivoco, só não deu tempo de postar.

Agora já estou com outro problema, já configurei o LoadBalance com de alguns tópicos já resolvidos do fórum.
http://forum.pfsense.org/index.php/topic,37776.msg195019.html#msg195019

O problema é que tenho 3 links, 2 Net Virtua e um MPLS da Embratel e 2 Lans.
Preciso criar uma rota no link da Embratel para a Lan2, tipo e-mail, sistemas…etc.
Mas não estou conseguindo. O correto seria usar “Aliases”, vocês podem me ajudar?

marcelloc

@helberttavares:

Preciso criar uma rota no link da Embratel para a Lan2, tipo e-mail, sistemas…etc.
Mas não estou conseguindo. O correto seria usar “Aliases”, vocês podem me ajudar?

Só um nat mesmo. Para serviços de entrada o pfsense sabe devolver pela mesma interface que entrou.

O alias pode te ajudar a diminuir a quantidade de nats/regras.

helberttavares

Marcelloc,

Como ficaria a opção de gateway? teria que deixar o grupo que criei como LoadBalance?

marcelloc

@helberttavares:

Como ficaria a opção de gateway? teria que deixar o grupo que criei como LoadBalance?

Na lan, você força um failover para garartir o acesso da maquina para a internet pelo link desejado e em caso de falha, sair pelo outro link.

helberttavares

Marcelloc desculpa a minha ignorância, mas não entendi bem o que devo fazer,
meu conhecimento no pfSense é muito pouco, só consegui avançar com a ajuda do fórum.
Você pode me explicar melhor?

marcelloc

Procure os tópicos e nos tutoriais sobre load balance e failover para entender como ele funciona.

Para publicar o seu serviço nas duas wans, você só precisa do nat(firewall-> nat -> port forward).

Se quiser que a maquina que disponibiliza o serviço saia por um gateway específico quando for navegar por ela ou rodar o windows update por exemplo, crie uma regra na LAN(se o servidor estiver na LAN é claro) permitindo o acesso do ip do servidor a internet.
A unica diferença nesta regra é que você vai marcar por qual gateway você quer que esta comunicação saia.

Deixando mais claro:
O pfsense é um firewall statefull, portanto você não precisa criar/se preocupar com as regras de volta(ou de retorno) já que ele mantém o estado da conexão.