PFsense 2.1 - 2Wan 1Dmz 1 Lan

dehylus

Estimados, tengo una duda de como implementar una solución a PFsense para mi red. Tengo 2 conexiones WAN, una dedicada y otra adsl, la dmz para mis servidores y la lan para mis usuarios. La idea es que por el adsl navegen mis usuarios y por la dedicada salgan y entren las conexiones a mis servidores en la dmz. La pregunta es, ¿Como puedo forzar que el trafico de mis usuarios salga por el adsl y el de mis servidores entre y sanga por el acceso dedicado con ips fijas?. He visto la documentación y para usar las 2 wan lo mejor seria usar un grupo gateway, pero por lo que he visto eso es para balanceo y failover pero en ningún lado se especifica como forzar la salida para una red en particular.

Espero me puedan ayudar o indicar cual seria la mejor opcion, muchas gracias.

ptt

http://forum.pfsense.org/index.php/topic,23265.0.html

Reglas de FW + Policy Routing

https://doc.pfsense.org/index.php/Multi-WAN_2.0#Firewall_Rules

gersonofstone

Estas usando Servidor proxy?

En la parte de – firewall -- rules-- en la interfaz de los servidores le indicas por cual gateway sale en trafico de una IP o una red

dehylus

Muchas gracias por sus respuestas, siento no haber sido mas claro al explicar mi problema, ya resolvi una parte pero me queda un detalle, lo explico a continuación.

WAN1          WAN2
                    \                  /
                        PFSENSE
                      /           
                  LAN          DMZ

Siguiendo las instrucciones, agregue un "gateway group", luego en las reglas de mi lan, puse como gateway el "gateway group" que agregue, con eso todo bien, comenze a tener salida a internet sin problemas, y desde fuera de mi red, los servidores de mi dmz son visibles. Ahora lo que me queda por solucionar es que desde mi LAN, no veo los servidores en la DMZ. Estuve viendo el tema de "Policy Route Negation", pero no logre comprender el asunto. Les adjunto unas imagenes tambien de mis reglas.

Saludos y gracias.

georgeman

Que raro, no deberías necesitar nada más…

Tienes configurado algun gateway en las opciones de la interfaz DMZ?

De cualquier manera, lo de policy route negation se refiere a agregar otra regla en LAN por encima de las existentes, on origen LAN, destino DMZ y gateway en blanco.

Saludos!

dehylus

No, en la DMZ no tengo ningún gateway predefinido, solo uso el default. Lo que pasa es que una de mis Wan, es un acceso dedicado, el cual deberían usar solo mis servidores dentro de la dmz, y la otra es un ADSL, el cual deberían usar mis usuarios de la LAN para acceder a internet. La verdad no se que podrá estar pasando, actualmente tengo que dejar la regla de mi LAN con el default gateway para poder acceder a mis servidores, pero al mismo tiempo todos mis usuarios de la LAN navegan por el WAN dedicado y el WAN ADSL queda sin uso. SI activo el gateway group en la regla de salida de mi lan, todos mis usuarios salen por el ADSL pero no pueden llegar a la DMZ.

Estoy confundido, por favor espero que me puedan ayudar.

Gracias.

georgeman

Prueba con la regla que mencioné más arriba entonces ;)

dehylus

Georgeman, eres un genio!!!, ahora funciona correctamente. Puedo llegar a mi dmz sin problema y mis usuarios salen por la wan-adsl, y mis servidores en la dmz salen y entran por mi wan-dedicada. Te agradezco mucho toda tu ayuda.

Saludos.