Multiwan puro failover+squidguard se puede?
-
Se supone que tendría que ir, por lo que dicen los que han instalado esto…
Pero si quieres tenen un esquema más claro:
LAN --- [pfSense squid+squidGuard transparente] –- [pfSense balanceador]
o
LAN con [squid + squidGuard no transparente] –- [pfSense balanceador impidiendo navegación que no venga del proxy]
Esto requiere dos equipos (es la pega) pero también pueden ser virtuales…
Mi opción favorita es la segunda. Requiere declarar el proxy en navegadores y aplicaciones pero da mucha más seguridad.
-
Hola bellera muchas gracias por tu pronta respuesta
mira actualmente tengo 2 pfsense uno como dices de balanceador y otro con squidguard algo asi:
__________wan1 189.xxx.xxx.xxx
|
DVR–---------------------- LAN <-----[pfsense squidguard]<–-------[pfsense dualwan balanceo de cargas]
192.168.7.XXx 192.168.3.1/16 192.168.101.1/24 |__________wan2 200.xxx.xxx.xxxesta funcionando perfectamente pero el detalle es el siguiente en mi LAN se adquirieron recientemente varios dvs que los quieren publicar en Internet para que de cualquier parte
puedan acceder a ellos pero me enfrente a 2 problemas1.- la apertura de puerto entre varios pfsense
no se como enrutar los puertos entre los pfsense para que lleguen al dvr o no se si esto sea posible?2.- mis ips son dinamicas y me apoyaría de dyndns para configurar los dvrs pero con el balanceo de cargas que son cambios la puerta de enlace en segundos no se si se pueda con los dyndns
saludos
-
1.- la apertura de puerto entre varios pfsense
no se como enrutar los puertos entre los pfsense para que lleguen al dvr o no se si esto sea posible?Esto no es problema: de NAT Port Forward a NAT Port Forward. De Oca a Oca y tiro porque me toca.
Tengo instalaciones con:
Servidores publicados –- [pfSense principal] –- [pfSense balanceador de salida] –- [Varios routers ADSL]
¡3 NAT entrantes encadenados!
el balanceo de cargas que son cambios la puerta de enlace en segundos
No. El balanceo (agrupamiento de puertas) es de salida. Esto no afecta, pues el tráfico de un servicio publicado es entrante. Y en el supuesto que llegara a afectar bastaría una regla en LAN para al tráfico saliente.
me apoyaría de dyndns
A configurar en el router que su lado WAN tenga la ip dinámica.
-
Hola bellera
como hago el
NAT Port Forward a NAT Port Forward
osea como abro el puerto entre varios router :S me podrias ayudar poniendo un ejemplo
GRACIAS!! :D
-
http://forum.pfsense.org/index.php?action=dlattach;topic=45660.0;attach=20516;image
NAT IP en el pfSense que da a internet tiene que ser la IP de la WAN del pfSense que está más al interior
NAT IP en el pFSense que está más al interior tiene que ser el DVR
Protocolo UDP, TCP, TCP/UDP según cómo vaya tu DVR
Puertos según lo que haga tu DVR.
No olvides decir que quieres generar las reglas para el tráfico entrante de tus NATs.
Espero haberme explicado…
-
sabes bellera para ir paso a paso decidi quitar el balanceador para ir entendiendo la mecánica de como abrir un puerto entre varios routers y mira este es mi escenario:
192.168.7.3:[82] 192.168.3.1/16 192.168.100.254/24 xxx.xxx.xx.xx(ip publica)
[DVR]–--------------------------[pfsense.filtro]–-------------------[router cisco rv042]–--------------- internet
la ip que me asigno el router cisco |
WAN: 192.168.100.108 |
|------------------------------------------------------|
| |
[server] 192.168.100.10:3389 [DVR] 192.168.100.103:81actualmente del router cisco si pongo la ip publica mas el puerto de escritorio remoto si entra al servidor y tambien conecte directamente un dvr y tambien se puede acceder por eso no dudo que este abriendo mal los puerto del router cisco hacia el pfsense
pero hice lo que me sugeriste bellera y no funcionay la idea es que yo ponga la ip publica que me da mi proveedor de Internet de la wan que esta desde el router cisco y que se vaya directamente hasta el dvr 192.168.7.3:82
adjunte algunas imagenes de mi configracion tanto del router cisco como del pfsesen
muchas gracias bellera!!
-
¿Qué es lo que no funciona?
Lo que tienes está correcto siempre y cuando el dvr emplee TCP 82 y TCP 8002, que no sé si es el caso.
Si no es así, tienes que cambiar los puertos de destino en los NAT de pfSense.
-
lo que no funciona bellera es que si yo en mi navegador pongo la ip publica para ver las camaras del dvr xxx.xxx.xxx.xxx:82 no pasa nada :( dice que no existe la dirección
pero si pongo la ip publica mas el puerto 81 que es el del primer dvr que se encuentra antes del pfsense ahi si se conecta al dvr xxx.xxx.xxx.xxx:81por que tambien hice una prueba de estando en la red 192.168.3.1/16 y pongo la ip local del dvr si tengo acceso a las camaras asi : 192.168.7.3:82
no se a que te refieres con cambiar los puertos del destino en los NAT :S
osea poner otros puertos en el dvr y en el pfsense?
y nuevamente gracias bellera
-
Tienes un problema de topología. Con una máscara de 16 en el tramo 3 estás con un rango 192.168.0.0 - 192.168.255.255
El enrutado no te funciona por eso.
Tienes que usar subredes distintas.
http://www.subnet-calculator.com/cidr.php
Usa máscaras con más bits u otros rangos privados:
http://es.wikipedia.org/wiki/Red_privada
-
ahhh ok
gracias bellera entonces cambiare la topologia de mi red es que en primera instancia puse asi la mascara de subred por que creció la red
entonces si cambio la red 192.168.3.1/16 a 192.168.3.1/24 debería funcionar me imagino vdd?
-
Entonces si cambio la red 192.168.3.1/16 a 192.168.3.1/24 debería funcionar me imagino vdd?
Siempre que no tengas máscara 16 en el tramo 7.
Si necesitas máscara 16 en alguno de los tramos tendrás que cambiar uno a otro de los bloques privados, http://es.wikipedia.org/wiki/Red_privada
De todas maneras 16 son 65.536 ips. Y 24 sólo 256. Entre 16 y 24 tienes otras posibilidades, http://www.subnet-calculator.com/cidr.php
SOLUCIONADO - Pasa/sigue en http://forum.pfsense.org/index.php/topic,56107.0.html por abordar nuevo tema. Moderador - 24-nov-2012
