Substituindo Fw linux por Pfsense
-
Mas preciso ter as interfaces configuradas com os mesmos nomes que o de origem, no servidor que vai receber a sincronização?
Normalmente usamos isso para alta disponibilidade. Nunca testei com nome de interface diferene ou com as interfaces em outra ordem…
Bom…vou testar....ja que o pfsense ta virtualizado faço um snapshot antes, se der problema so reverto.
-
Bom…vou testar....ja que o pfsense ta virtualizado faço um snapshot antes, se der problema so reverto.
Você pode também mudar o nome das interfaces, sincronizar e depois acertar o nome de acordo com a necessidade.
-
Bom…vou testar....ja que o pfsense ta virtualizado faço um snapshot antes, se der problema so reverto.
Você pode também mudar o nome das interfaces, sincronizar e depois acertar o nome de acordo com a necessidade.
Vou fazer isso…So estou fazendo backup aqui do sistema e
redimensionar o espaço,digo, reinstalar a maquina virtual antes em disco da vm, pois acabei alocando todo espaço em hd pra ela e nao sobrando para os snapshots….Sobre o squid, estava vendo o seu topico do squid3 : http://forum.pfsense.org/index.php/topic,48265.0.html
Mas fiquei em duvida em como "atualizar" do meu atual 2.7 para o squid3 e manter as configurações.
E se fazendo essa mudança vou precisar mudar o Sguidguard tambem, que atualmente é o 1.4_4 -
Bom renomiei as interfaces da maquina de destino para a as mesmas da de origem,
Link1 e Lan ficou 100%, as regras do Link2 e dmz ele inverteu na hora de sincronizar, ficando a dmz com as regras do link2 e vice-versa
Mesmo marcando ele nao sincronizou os 2 ips virtuais que tenhoNos logs deu erro no começo…ams depois deu certo:
Oct 25 13:29:41 php: rc.filter_synchronize: Filter sync successfully completed with http://MEUIPDESTINO :80. Oct 25 13:29:40 php: rc.filter_synchronize: XMLRPC sync successfully completed with http://MEUIPDESTINO :80. Oct 25 13:29:37 php: rc.filter_synchronize: Beginning XMLRPC sync to http://MEUIPDESTINO :80. Oct 25 13:29:34 check_reload_status: Syncing firewall Oct 25 13:29:15 php: rc.filter_synchronize: New alert found: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80. Oct 25 13:29:15 php: rc.filter_synchronize: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80. Oct 25 13:29:15 php: rc.filter_synchronize: XML_RPC_Client: Connection to RPC server MEUIPDESTINO :80 failed. Operation timed out 103 Oct 25 13:29:07 php: rc.filter_synchronize: New alert found: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80. Oct 25 13:29:07 php: rc.filter_synchronize: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80. Oct 25 13:29:07 php: rc.filter_synchronize: XML_RPC_Client: Connection to RPC server MEUIPDESTINO :80 failed. Operation timed out 103 -
Bom renomiei as interfaces da maquina de destino para a as mesmas da de origem,
Link1 e Lan ficou 100%, as regras do Link2 e dmz ele inverteu na hora de sincronizar, ficando a dmz com as regras do link2 e vice-versa
Mesmo marcando ele nao sincronizou os 2 ips virtuais que tenhoNos logs deu erro no começo…ams depois deu certo:
Oct 25 13:29:41 php: rc.filter_synchronize: Filter sync successfully completed with http://MEUIPDESTINO :80. Oct 25 13:29:40 php: rc.filter_synchronize: XMLRPC sync successfully completed with http://MEUIPDESTINO :80. Oct 25 13:29:37 php: rc.filter_synchronize: Beginning XMLRPC sync to http://MEUIPDESTINO :80. Oct 25 13:29:34 check_reload_status: Syncing firewall Oct 25 13:29:15 php: rc.filter_synchronize: New alert found: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80. Oct 25 13:29:15 php: rc.filter_synchronize: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80. Oct 25 13:29:15 php: rc.filter_synchronize: XML_RPC_Client: Connection to RPC server MEUIPDESTINO :80 failed. Operation timed out 103 Oct 25 13:29:07 php: rc.filter_synchronize: New alert found: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80. Oct 25 13:29:07 php: rc.filter_synchronize: A communications error occurred while attempting XMLRPC sync with username admin http://MEUIPDESTINO :80. Oct 25 13:29:07 php: rc.filter_synchronize: XML_RPC_Client: Connection to RPC server MEUIPDESTINO :80 failed. Operation timed out 103Bom, comparando os dois agora…ele nao sincronizou as regras pelos nomes da interface e sim pela ordem que estao la no interfaces assign...achoq ue se colcoar na mesma ordem deve ficar ok
-
-
achoq ue se colcoar na mesma ordem deve ficar ok
Fica sim.
Agora foi… :D
So nao achei como sincronizar os Ips virtuais e as config da VPn PPTP...
Ainda nao atualizei o bind na maquina de origem ( ta rodando tao bem...rsss) pra versao 0.3, daqui a pouco faço pra sincronizar....
Como os ips virtual ip sao so 2, pptp sao apenas 2 contas e o squid tem so 3 usuarios na interfce ( o resto ta num arquivo separado que o filer ja sincronizouvou terminar o que falta manualmente mesmo.... -
Bom…faltando 98% notei uma coisa agora quando tava fazendo as revisoes finais....
De dentro da lan eu navego normalmente, mas nao pingo pra nenhum local fora, nem ip nem dominio. Mesmo na dmz, que eh 192.168.10.x eu so so pingo o 192.168.10.1 que é o ip da interface do firewall, se pingo o 192.168.10.2 que é um roteador wifi nao responde, mas se digito 192.168.10.2 no navegador abro normalmente a pagina de configuracao desse roteador
Do console do pfsense eu pingo para qualquer local.
Para teste coloquei uma regra na lan e dmz liberando tudo e nao rolou ( * * * * em tudo)
Navega com proxy e sem ( se a regra de testa esta ativa), pede usario e senha do squid, pinga internamente na lan, e nos ips internos das 5 interfaces. dae pra frente nada....
De fora pingo o ip externo do pfsense e acesso a interface web tambem.....(fiz uma regra liberando para testes)
Todas interfaces estao com regra liberando icmp
Quando pingo um dominio externo, por ex gmail....ele resolva o ip, mas pro ping da esgotado o tempo limite do pedido. Ja se pingo o ip do dns do google por ex, 8.8.8.8, nao responde. -
Olhando os logs agora do firewall….vi que tem muito pacote entre o ip 192.168.10.1 e o 192.168.10.2 na dmz ( ip do firewall e ip do roteador wifi respectivamente) bloqueando e quando vou ver detalhes ele da como err:
The rule that triggered this actions is
@ 3 scrub on re1 all fragment reassemble
@ 3 block drop in log inet all label "Defaul deny IPV4' -
Quando pingo um dominio externo, por ex gmail….ele resolva o ip, mas pro ping da esgotado o tempo limite do pedido. Ja se pingo o ip do dns do google por ex, 8.8.8.8, nao responde.
Tcpdump na wan e na lan. Se o pacote estiver saindo, não é problema com seu firewall.
@ 3 scrub on re1 all fragment reassemble
@ 3 block drop in log inet all label "Defaul deny IPV4'Pacotes fragmentados e pacotes que cairam no bloqueio padrão.
-
Rodei o tcpdum na interface lan e dmz
na lan com a interface lan, host 192.168.1.100 and host 192.168.10.2
192.168.1.100 _ minha maquina de teste e 0 10.2 o roteador wifi
Aqui nao aparece nada quando dou o pinga da maquina pro roteadore na dmz o tcpdum na placa da dmz e o host 192.168.10.2
Aqui aparece os pacotes icmp somente da maquina teste par ao 192.168.10.2È como se achassem o destino, mas nao o caminho de volta no icmp
Mas se digito 192.168.10.2 no navegador, abre normalmente ( na maquina de teste), so que parece que nao carrega todos os graficos da interface do roteadorwifi
Agora se conecto no roteador wifi, com um ip 192.168.10.3, consigo pingar a interface do firewall 192.168.10.1, onde ele esta conectado mas para "dentro" , inclusive a rede 192.168.1.x, da como Host de destno inacessivel.
-
Revisei todas configuracoes com o do firewallq ue ta rodando e tudo bate….
Unica coisa que me chamou atenção é que nesse pfsense que estou terminando de configurar ( 64 bits que ta rodando numa vm do zemserver) agora quando dei reboot e fiquei observando a tela de console notei essa msg:
Configuring firewall.route: writing to routing socket: No such process ... done
Mas termina de carregar o boot normalmenteNota:
Fiz um teste agora , revertendo para um snapshot antes de fazer a sincronização das regras de firewall...e esta pingando normalmente tanto nomes quanto ips para fora .....
O problema acho que esta sendo na hora que faço a sincronização das regras do firewall em produção com este que estou configurando....
Por algum motivo acho que esta dando problema com a tabela de roteamento..... -
Nota:
Fiz um teste agora , revertendo para um snapshot antes de fazer a sincronização das regras de firewall…e esta pingando normalmente tanto nomes quanto ips para fora .....
O problema acho que esta sendo na hora que faço a sincronização das regras do firewall em produção com este que estou configurando....
Por algum motivo acho que esta dando problema com a tabela de roteamento.....Aos poucos as coisas vão se esclarecendo…. :)
Nao sei bem se o problema esta sendo com a sincronização das regras, ou quando mudei a ordem as interfaces. Em system assign...esclui e criei de novo na mesma ordem do firewall de origem, mas isso depois de ter sincronizado. VOu fazer 2 testes agora:
mudar a ordem das interfaces, verificar se esta ok, e depois fazer a sincronizacao e ver ..... dae fica mais facil de isolar caso ocorra problema novamente -
Quando usamos o carp, é essencial apontar o gateway das estações e roteadores para o ip virtual e conferir as regras de nat de modo que o pacote saia e volte com o mesmo ip.
-
Quando usamos o carp, é essencial apontar o gateway das estações e roteadores para o ip virtual e conferir as regras de nat de modo que o pacote saia e volte com o mesmo ip.
Ola marcello, vi que o problema ocorreu quando fiz a mudança das interfaces ( exclui, adicionei e mudei a placa atribuida a cada interface). Pois tinha feito isso depois que sincronizei as regras.
Fiz um teste, reverti para um snapshot antes da sincronização, mudei a ordem das interfaces e nomes primeiros, reiniciei, depois sincronizei as regras.
Parece que resolveu….
Estou pingando para "fora" em todas interfaces, o erro Configuring firewall.route: writing to routing socket: No such process ... done nao pareceu mais no boot.
Regras de nat tenho somente para alguns acessos externos no link1, e da porta 25 na dmz.
Nao uso ips virtuais, somente 2 no link 1 que fazem parte do range de ips reais do link
Essa maquina que estou terminando a configuração, é 64 bits com 5 placas de rede
Link1- Usado para -emails e dns
Link2- Usada para navegacao, é o default gateway
LAN - Rede interna
DMZ- Dmz com os servidores de e-mail
WIFI - Conectada a um roteador wifi sem nenhuma regra especificaA máquina que esta rodando atualmente, de onde fiz a sincronização, é uma 32 Bits com 4 interfaces ( todas acima, menos a wifi).
Vou fazer mais alguns testes agora para ver se realmente esta ok.
-
Bom…ta quase tudo ok..... so que agora se marco o proxy navega ok, se nao marco...nao abre nada na internet...parece que sem o proxy ele nao acha o gateway padrao,, que é o link2, mesmo la em routing - gateways definindo ele como gateway deaault..... e nas conexoes do windows aparece como sem conexao com a intrnet, mesmo com o proxy marcado e navegando.
obs esses que nao navegam tem regra na lan liberando todo acesso.... -
Hora de usar o tcpdump mais uma vez.
-
Hora de usar o tcpdump mais uma vez.
Rodei..foi a 1a coisa que fiz
agora achei o erro…..coisa mais basica impossivel
Depois que configurei todas as interfaces,gateways, etc..... tudo certinho.....
Mudei o nome do gateway desse link 2, e dae la em interfaces ele estava sem gateway definido.....
Podia ter começado a semana sem essa.... :-[ -
Acontece… :)
