Como criar uma rota entre dois PFSenses

ricardo.mota

Olá amigos,

Preciso cirar uma rota entre dois servidores PFSense, meu cenário é o seguinte:

Tenhos duas máquinas, uma com o PFSense Proxy (192.168.1.1) e outra com PFSense Firewall (10.1.1.1). No proxy uso o de praxe, squid, lightsquid, tem duas placas, Wan e Lan. Já no Firewall não tenho pacotes, tem 3 palcas de rede, Wan(Embratel), OPt1 (Oi) e Lan, não fiz nem loadbalance e nem failover, por enquanto não vou fazer, quando quero trocar de link, vou em routing e mudo o default Gateway pra Oi ou Embratel.

O que quero é determinar que um IP da minha rede independente do Default Gateway que está no Firewall, passe a usar a rota que eu quiser. Ou seja, um IP de um servidor de fotos, passe somente pelo link da Oi. Neste caso qual procedimento eu tenho que tomar para que este Servidor de Fotos passe a percorrer somente aquele caminho entre o Proxy e o Firewall?

Obrigado desde já,

Ricardo

lorigas

@ricardo.mota:

Olá amigos,

Preciso cirar uma rota entre dois servidores PFSense, meu cenário é o seguinte:

Tenhos duas máquinas, uma com o PFSense Proxy (192.168.1.1) e outra com PFSense Firewall (10.1.1.1). No proxy uso o de praxe, squid, lightsquid, tem duas placas, Wan e Lan. Já no Firewall não tenho pacotes, tem 3 palcas de rede, Wan(Embratel), OPt1 (Oi) e Lan, não fiz nem loadbalance e nem failover, por enquanto não vou fazer, quando quero trocar de link, vou em routing e mudo o default Gateway pra Oi ou Embratel.

O que quero é determinar que um IP da minha rede independente do Default Gateway que está no Firewall, passe a usar a rota que eu quiser. Ou seja, um IP de um servidor de fotos, passe somente pelo link da Oi. Neste caso qual procedimento eu tenho que tomar para que este Servidor de Fotos passe a percorrer somente aquele caminho entre o Proxy e o Firewall?

Obrigado desde já,

Ricardo

Bom dia Ricardo

Sua pergunta ficou meio confusa. Você quer definir que um determinado IP da sua Lan acesse somente uma de suas interfaces de internet (Wan ou OPT1)? Ou que um determinado IP de internet ao tentar ser acessado seja feito somente por uma de suas interfaces de internet (Wan ou OPT1)?. Em ambos os casos você pode definir isso através das regras de firewall no seu "PFSense Firewall" a minha unica duvida foi que você disse que não está usando loadbalanced/failover. Se por exemplo o link que você definir no firewall para essa regra seja a interface OPT1(oi) e o default estiver como Wan(Embratel) sua regra vai fazer com que este determinado IP não tenha acesso a web ou no segundo caso não consiga ser acessado.

ricardo.mota

Então LCantano, obrigado por se interessar pelo problema.

…Você quer definir que um determinado IP da sua Lan acesse somente uma de suas interfaces de internet (Wan ou OPT1)?...
É isso mesmo, por exemplo, não quero que todos, mas digamos, um ou dois computadores, passem a usar a Oi, e alguns dos meus servidores use a Embratel.

…Ou que um determinado IP de internet ao tentar ser acessado seja feito somente por uma de suas interfaces de internet (Wan ou OPT1)?...
Não, este caso eu já tenho. Tenho Servidores que são acessados de fora para dentro com uso do Virtual IP, tanto por IPs Fixos Embratel e Oi, nesse caso faço NAT. Já estão bem definidos.

…Em ambos os casos você pode definir isso através das regras de firewall no seu "PFSense Firewall" a minha unica duvida foi que você disse que não está usando loadbalanced/failover...
É, não vou usar por enquanto, quero resolver primeiro esse detalhe do uso de quem vai usar tal link.

…Se por exemplo o link que você definir no firewall para essa regra seja a interface OPT1(oi) e o default estiver como Wan(Embratel) sua regra vai fazer com que este determinado IP não tenha acesso a web ou no segundo caso não consiga ser acessado.
Entendi, mas preciso tentar.

Quando eu Determino no Firewall o Virtual com um IP Fixo, e faço NAT do Firewall para o Proxy, tudo bem até aí, mas me confundi, fazendo o inverso, preciso fazer NAT ou Virtual IP do Proxy para o Firewall, só para fazer com que um Ip acesse somente o link da Oi ou Embratel no Firewall?

Mas uma vez obrigado pelo interesse!

lorigas

@ricardo.mota:

Então LCantano, obrigado por se interessar pelo problema.

…Você quer definir que um determinado IP da sua Lan acesse somente uma de suas interfaces de internet (Wan ou OPT1)?...
É isso mesmo, por exemplo, não quero que todos, mas digamos, um ou dois computadores, passem a usar a Oi, e alguns dos meus servidores use a Embratel.

…Ou que um determinado IP de internet ao tentar ser acessado seja feito somente por uma de suas interfaces de internet (Wan ou OPT1)?...
Não, este caso eu já tenho. Tenho Servidores que são acessados de fora para dentro com uso do Virtual IP, tanto por IPs Fixos Embratel e Oi, nesse caso faço NAT. Já estão bem definidos.

…Em ambos os casos você pode definir isso através das regras de firewall no seu "PFSense Firewall" a minha unica duvida foi que você disse que não está usando loadbalanced/failover...
É, não vou usar por enquanto, quero resolver primeiro esse detalhe do uso de quem vai usar tal link.

…Se por exemplo o link que você definir no firewall para essa regra seja a interface OPT1(oi) e o default estiver como Wan(Embratel) sua regra vai fazer com que este determinado IP não tenha acesso a web ou no segundo caso não consiga ser acessado.
Entendi, mas preciso tentar.

Quando eu Determino no Firewall o Virtual com um IP Fixo, e faço NAT do Firewall para o Proxy, tudo bem até aí, mas me confundi, fazendo o inverso, preciso fazer NAT ou Virtual IP do Proxy para o Firewall, só para fazer com que um Ip acesse somente o link da Oi ou Embratel no Firewall?

Mas uma vez obrigado pelo interesse!

Bom agora está menos confuso…

Faz o seguinte primeiramente crie um alias no pfsense firewall com os ips das maquinas que você queira que saia pelo link OPT1(oi) exemplo: Ips_OI

Após criar o alias vá em firewall rules e na aba lan crie a seguinte regra antes da sua regra default de lan:

Lan:
ID  Proto  Source      Port    Destination    Port  Gateway  Queue  Schedule  Description

*      Ips_OI      *            *            *    OPT1GW

Com essa regra você está dizendo ao firewall que qualquer solicitação de acesso a internet através dos IPs que estão no seu alias saia pelo link da OI.

Faça o teste e verifique se funciona.

ricardo.mota

Boa noite LCantano,

Eu entendi, mas e o meu proxy que está na outra máquina, o que eu faço nele? Já que é nele que está a minha LAN.

Só relembrando:

Firewall: (máquina1)

• LAN (10.1.1.1)
• EMBRATEL (200.200.281.15)
• OI (200.216.25.154)

Proxy: (máquina2)

• WAN (10.1.1.2)
• LAN (192.168.1.0/24)

Ricardo

lorigas

@ricardo.mota:

Boa noite LCantano,

Eu entendi, mas e o meu proxy que está na outra máquina, o que eu faço nele? Já que é nele que está a minha LAN.

Só relembrando:

Firewall: (máquina1)

• LAN (10.1.1.1)
• EMBRATEL (200.200.281.15)
• OI (200.216.25.154)

Proxy: (máquina2)

• WAN (10.1.1.2)
• LAN (192.168.1.0/24)

Ricardo

Bom dia Ricardo

Você efetuou o teste após a configuração?

Creio eu que não precise alterar nada no servidor proxy para que sua regra de direcionamento funcione. A lista de IPS_OI deve conter os ips da sua lan 192.168.1.x. Faça o teste e caso não consiga informe qual foi o erro informado.

kelsen

Qual o motivo da sua maquina 2 ter duas placas?
Seria mais interessante o seu proxy junto ao firewall, dessa forma vc define no proxy quem usa tal gateway, "tcp_outgoing_address".
No seu cenário a maquina2 esta fazendo nat, acredito que a regra do LCantano não vá funcionar.

ricardo.mota

Olá Kelsen,

Por incrível que pareça, separei meu proxy e firewall, justamente pela instabilidade que o link da Oi me causava. Dá forma como está, eu não tenho mais dor de cabeça, pois eu trabalho de forma tranquila com o proxy.
O que preciso nesse momento, é resolver esta questão de direcionamento, sei que se estivesse tudo junto, proxy firewall, seria fácil, em outro cliente fiz e deu certo. mas agora os dois estão separados fisicamente, e preciso que o servidores acessem o link da embratel e o desktops o link da Oi, em resumo é isso.

kelsen

Por incrível que pareça, separei meu proxy e firewall, justamente pela instabilidade que o link da Oi me causava. Dá forma como está, eu não tenho mais dor de cabeça, pois eu trabalho de forma tranquila com o proxy.

Ué, como assim? o link da oi não está na máquina 1? oque muda colocando o proxy em outra máquina?

preciso que o servidores acessem o link da embratel e o desktops o link da Oi, em resumo é isso.

Como eu te disse, a máquina 2 deve estar fazendo nat, então tudo está chegando na máquina1 com o endereço 10.1.1.2, dessa forma não há como redirecionar pra um gateway diferente dependendo do IP do cliente. Pra confirmar, verifica na tabela de states, system -> states e verifica se na tabela chega apenas o ip 10.1.1.2 na lan.
A minha sugestão é você mover esse proxy pra máquina 1, assim fica muito mais facil.