Conexion 2 oficinas con PFSense via 2 CPE Ubiquiti (Solucionado)

acriollo

Esta medio enredada la explicacion, pero espero que esto ayude.

Si las dos sedes estan conectadas por unas antenas como lo mencionas , puedes incluir una tarjeta en cada pfsense  para conectar las antenas y asignarles una ip 10.0.8.1/30 y 10.0.8.2/30 , aqui deberas de crear un gw que seria la ip contraria ( .2 para uno y .1 para el otro ), verifica qe los pfsense se vean entre si .  Asumo que los ubnt estan en modo bridge y modo WDS, las ips de las antenas no importan si estan en modo bridge.

Despues lo unico que hay que hacer es crear las reglas de trafico en cada una de las interfaces en el pfsense y decirles que para el trafico que va por ejempo de la 192.168.200.1 se van a ir por el gateway 10.0.8.2 y viceversa.

dech

@trasher:

:o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o :o ???

Si en cada oficina tienes ISP distintos…... explícame para que quieres el enlace con los ubiquiti ???

Sabes que es una VPN ?

Buen Dia Trasther, en el diagrama muestro los servicios que pasan por el enlace con los Ubiquiti, los cuales son internos y no salen a internet, como RDP, el SQL, File Server, entre otros, tal cual como muestra el diagrama ya lo tengo implementado pero con Zentyal 4.0 via VPN. Y uso la conexión de las oficinas por internet solo como respaldo, si me fallan las antenas.

Si se que es una VPN,

dech

@acriollo:

Esta medio enredada la explicacion, pero espero que esto ayude.

Si las dos sedes estan conectadas por unas antenas como lo mencionas , puedes incluir una tarjeta en cada pfsense  para conectar las antenas y asignarles una ip 10.0.8.1/30 y 10.0.8.2/30 , aqui deberas de crear un gw que seria la ip contraria ( .2 para uno y .1 para el otro ), verifica qe los pfsense se vean entre si .  Asumo que los ubnt estan en modo bridge y modo WDS, las ips de las antenas no importan si estan en modo bridge.

Despues lo unico que hay que hacer es crear las reglas de trafico en cada una de las interfaces en el pfsense y decirles que para el trafico que va por ejempo de la 192.168.200.1 se van a ir por el gateway 10.0.8.2 y viceversa.

Buen día acriollo, Muchas gracias por tu respuesta, si esa solución que me das, ya la había pensado y pienso que asi debería funcionar a la primera, solo que no quiero utilizar una interface de red en el server principal para realizar la conexión ya que se van adquirir otro ISP y esta interface esta destinada para usarla como WAN.

En Zentyal tengo todo en producción con virtual interface tal cual como lo tengo en el diagrama, me funciona perfecto y la conexion la hago via VPN entre los dos server.

Estoy evaluando migrar a PFSense ya que zentyal dejo a un lado todo el tema de Firewall, y los balanceo de carga no funcionan muy bien.

Y estoy intentando hacer el mismo escenario con el PFSense

trasher mx

Buen Dia Trasther, en el diagrama muestro los servicios que pasan por el enlace con los Ubiquiti, los cuales son internos y no salen a internet, como RDP, el SQL, File Server, entre otros, tal cual como muestra el diagrama ya lo tengo implementado pero con Zentyal 4.0 via VPN. Y uso la conexión de las oficinas por internet solo como respaldo, si me fallan las antenas.

Pero, pero…  ???

Bueno, pues despues de darle varias vueltas a tu asunto; el usar esas antenas es por cuestiones de ancho de banda ? verdad? digo,porque siendo honestos no le veo otra razón de ser. de un lado tienes 1mb y del otro 3mb, imagino que si mandas todo por la vpn tendras problemas de navegacion.

Si tienes un ISP en tu ofna central y otro en tu sucursal, listo fin del tema. no necesitas poner antenas y hacer un enlace, utiliza la infraestructura de tu ISP para llevarlo acabo, es mucho menos probable que falle el servicio de tu ISP que tus antenas, entonces estas pagando un ISP extra, quita el ISP de tu sucursal, monta tu enlace ubiquiti punto a punto y es como si entre tu sucursal y oficina central tuvieras un cable de red imaginario con 150mb/s de ancho de banda.

Sigo sin entender......

No eres el mismo del switch Tplink "gestionable" que no sabia como gestionar ?

Si se que es una VPN,

Te dejo un diagrama para que las conozcas.

dech

Buenas Tardes trasher mx, antes de implementar las antenas Ubiquiti usaba la conexión via túnel VPN por los ISP, y era inestable, siempre se perdía la conexión y los servicios eran mas lentos, la conexión ISP es Asimétrica.

Esta configuración ya la tengo en producción en otra plataforma, solo estoy evaluando para migrar a PFSense, ya que realice pruebas de balanceo de carga y limites y funcionan mucho mejor que en Zentyal.

Lo único que no le he encontrado que me funcione tal cual es el tema de las virtual interface.

En la plataforma no tengo nada TP-Link.

Muchas Gracias
Saludos.

elbocha01

buen dia dech, te paso un diagrama de red a ver si te funciona.

isp <::::::::::::::> PFsense ::::::> aca dividimos    <:::::>  antena nano    <:::::::>    antena nano    <::::::::>    red local Campo
                            como dhcp                                <:::::>  Red local

no se si me llego a explicar, yo creo que con un enlaze punto a punto no es necesario tener mas de un isp, le paso internet por el punto a punto al campo, ponele que sea una sucursal.
despues, si tenes en la oficina 2 isp, ahi las conectas al PFsense y listo haces el balanceo, para el PF son solo mas targetas de red y configuraciones. Cualquier cosa desime si estoy muy errado y espero ayudar con tu configuracion.

acriollo

No le veo el problema, las tarjetas cuestan 10 USD :(

acriollo

Puedes usar una tarjeta por segmento como lo menciona elbocha01 y quitar un pfsense y utilizar las antenas como bridge o colocar un pfsense de cada lado y conectarlos por una interface fisica.  No veo del todo correcto utilizar solo unas interfaces virtuales.

Saludos

shadow25

Hola. Hace un tiempo tengo un producción un esquema similar al tuyo, aunque la solución implementada utiliza Vlans, un par de switch gestionables y antenas mikrotik (me decidí por estas últimas para poder crer un enlace full duplex con el protocolo nv2).
Se debe tener en cuenta lo siguiente: el enlace punto a punto debe ser totalmente transparente y los equipos utilizados (antenas) deben tener la capacidad de reconocer las etiquetas de las vlans que pasan de un lado a otro. (desconozco si las nueva versiones del firmware de ubiquiti tiene esa capacidad).

Te paso por aqui unos links interesantes para que los veas, puede que te ayuden en algo.

vlans en Pfsense
https://www.highlnk.com/2014/06/configuring-vlans-on-pfsense/
https://www.youtube.com/watch?v=WeQEl07vtyY

Punto a punto Mikrotik
http://www.wispforum.net/entry.php?5-How-to-Connect-two-Mikrotik-SXT-5D-s-In-Bridge-Mode-Part-I

vlans en Mikrotik
http://www.pvilas.com/search/label/mikrotik
https://klseet.com/index.php/213-tm-unifi/unifi-mikrotik/rb750/94-mikrotik-rb750-vlans-trunking

Cisco y Mikrotik
http://rafawiki.blogspot.com.ar/2014/11/vlan-trunking-cisco-vs-mikrotik.html

Saludos

acriollo

Hola , para el caso de los enlaces no es necesario que los radios reconozcan o no las etiquetas , ya que el enlace únicamente funciona como un cable de red más , eso si que pase paquetes mayores a 1500 bytes para que pase la info de las vlans sin problemas.

Ubnt siempre lo ha hecho.  O por lo menos desde que yo he puesto algunos enlaces hace unos 8 o 10 años :).

Saludos

georgeman

Se están haciendo mucho lío… Vamos por lo más básico.

La pregunta concreta fue que teniendo una virtual IP configurada en su placa LAN, no puede hacer ping a la antena que se encuentra en el mismo rango.

Verifica que las direcciones IP tanto de la antena como de la virtual IP de pfSense estén bien configuradas, y que haya reglas de firewall sobre la LAN que permitan tráfico con origen en dicha subred.

Ademas, de esto, lo unico que necesitas es una ruta estatica para rutear la red de la otra sucursal a través del router del otro lado (mirando tu gráfico, considerando que instalaste pfSense en la sucursal 1, necesitas una ruta estatica para rutear 192.168.201.0/24 a través de 172.16.10.2). Y obviamente lo mismo del otro lado, pero al revés.

Saludos!

dech

Buenas tardes, estoy retomando este tema, y continuando con las pruebas, ahora la estoy haciendo con unas tarjetas de red Independientes.
Una NIC en cada server para el enlace por las antenas.
Cree en cada server la inteface con el nombre antena y asigno ip en el rango de 172.16.10.1/29 Servidor Oficina 1 Principal
Ip 172.16.10.2/29 Oficina 2 .

Revisando para poder colocar la ruta estatica tengo que crear un Gateways por la interface de las antenas en los dos server, en el modulo de Router.

Server Oficina 1
Name                 Interface           Gateway Monitor IP Description
EnlaceAntena ANTENA 172.16.10.2 172.16.10.2 Enlace por antenas

Server Oficina 2
Name                 Interface           Gateway Monitor IP Description
EnlaceAntena ANTENA 172.16.10.1 172.16.0.1 Enlace por antenas

Creo la Ruta Estatica

Network                 Gateway                         Interface Description
192.168.200.0/24 EnlaceAntena - 172.16.10.2 ANTENA         Ruta Estatica Lan Oficina 2

Network                 Gateway                                 Interface        Description
192.168.201.0/24 EnlaceAntena - 172.16.10.1 ANTENA         Ruta estatica LAN Oficina Principal

Doy los Permisos a nivel de Firewall Permitiendo todo el trafico tando de la Interface LAN como la Interface Antena, y de igual forma no logro llegar a niguna direccion ip mediante ping, ni entre los server por la red 172.16.10.0/29 pero las ip de las antenas si me da respuesta.

No se si tengo que configurar algun otro parametro o estoy haciendo un paso mal.?

Saludos.

georgeman

Puedes hacer ping desde un server hacia la antena DEL OTRO LADO? Desde un server hacia el otro server?

Postea los resultados de algún traceroute para ver donde está el punto de falla. No tendrás habilitado NAT sobre alguna de estas interfaces??

dech

@georgeman:

Puedes hacer ping desde un server hacia la antena DEL OTRO LADO? Desde un server hacia el otro server?

Postea los resultados de algún traceroute para ver donde está el punto de falla. No tendrás habilitado NAT sobre alguna de estas interfaces??

Buenas tardes georgeman Muchas Gracias por contestar,

Desde los dos server PFsense puedo realizar ping a las ip de las antenas, pero a la ip de sus interfaces donde están directamente conectados las antenas no. de igual forma el traceroute no consigue ninguna ruta.

Cuando creo el gateway por la interface de las antenas, me sale siempre que esta caído.

Adjunto imágenes con la configuración que tengo, para ver si tengo algo mal configurado o se me paso por alto.

Nota, en las pantallas muestro el direccionamiento que actualmente tengo probando en los servidores, no los antes mencionados en los Post anteriores.

Saludos Muchas Gracias.


georgeman

No puedes realizar ping porque no estas permitiendo tráfico ICMP en las interfaces! Tienes sólo permitido TCP.

El resto está mas o menos bien, exceptuando que hay reglas que no tienen mucho sentido (por ejemplo, permites todo el tráfico con la primera regla por lo que las de más abajo nunca se evalúan).

Saludos!

dech

Buenas Tardes georgeman, Muchas gracias por tu respuesta, si me di cuenta lo del protocola a penas había echo el post anterior, ya me esta funcionando las pruebas de Tracert entre dos equipos.

Estoy realizando pruebas con otros servicios, cualquier inconveniente volveré a preguntar por esta via

Saludos

dech

Buen día amigos,

Primero que nada muchas gracias a todos los que contestaron mis preguntas y dudas.

Aquí les muestro como realice la prueba de conexión entre 2 Oficinas con pfSense (Usando un Virtual Interface) trabajando mas o menos con el esquema enviado en el primer post.

Lo único que detalle es que al momento de crear la reglas en el firewall si quieren hacer balanceo de trafico enviando paquetes a otra interface wan, tiene que hacerla después de las reglas para las redes internas entre oficinas, ya que no toma de primero la ruta estática y no mandaría el paquete al otro server sino a la interface wan, como se ve en la ultima regla creada en la interfaces lan en la oficina principal.

adjunto imágenes de configuración con algunas pruebas que realice y todas fueron positivas, usando Alias para puertos de comunicación y Direcciones Ips.

Espero les sea de ayuda para algún otra persona que necesite configurar algo parecido.

No se si me explique bien.

Muchas Gracias.
Saludos


amnarl

Saludos mi estimado amigo, lo primero que diria yo es para que deseas conectar las dos sedes???? Si bien como explicas el tema de conexión asimétrica seria un inconveniente dependiendo del destino final de de dicho enlace. Esto te lo pregunto por que si bien es cierto se que mucho lo han hecho mas quiero hablarte de lo que he hecho yo en especial he unido sucursales via enlaces Punto  a Punto como bien indicaste como tambien lo he hecho via VPN haciendo uso de la conexion de cada ISP en ambos extremos en ambientes con conexiones asimetricas para publicar servicios (sistema administrativo de gestion, monitoreo y control de servidores, etc) a nivel local en ambas sedes en fin diseñando soluciones para ahorrar en equipos y servicios (uso de 1 servidor web en vez de dos, una sola base de datos,etc).

En fin vendria bien conocer en principio para que deseas usar ese enlace para entonces luego poder elegir la mejor opcion disponible. Cabe destacar que ambas soluciones pueden ser viables previo analisis del ambiente de cada una.

Estamos a  tu orden