Conexion 2 oficinas con PFSense via 2 CPE Ubiquiti (Solucionado)

dech

Buenas Tardes trasher mx, antes de implementar las antenas Ubiquiti usaba la conexión via túnel VPN por los ISP, y era inestable, siempre se perdía la conexión y los servicios eran mas lentos, la conexión ISP es Asimétrica.

Esta configuración ya la tengo en producción en otra plataforma, solo estoy evaluando para migrar a PFSense, ya que realice pruebas de balanceo de carga y limites y funcionan mucho mejor que en Zentyal.

Lo único que no le he encontrado que me funcione tal cual es el tema de las virtual interface.

En la plataforma no tengo nada TP-Link.

Muchas Gracias
Saludos.

elbocha01

buen dia dech, te paso un diagrama de red a ver si te funciona.

isp <::::::::::::::> PFsense ::::::> aca dividimos    <:::::>  antena nano    <:::::::>    antena nano    <::::::::>    red local Campo
                            como dhcp                                <:::::>  Red local

no se si me llego a explicar, yo creo que con un enlaze punto a punto no es necesario tener mas de un isp, le paso internet por el punto a punto al campo, ponele que sea una sucursal.
despues, si tenes en la oficina 2 isp, ahi las conectas al PFsense y listo haces el balanceo, para el PF son solo mas targetas de red y configuraciones. Cualquier cosa desime si estoy muy errado y espero ayudar con tu configuracion.

acriollo

No le veo el problema, las tarjetas cuestan 10 USD :(

acriollo

Puedes usar una tarjeta por segmento como lo menciona elbocha01 y quitar un pfsense y utilizar las antenas como bridge o colocar un pfsense de cada lado y conectarlos por una interface fisica.  No veo del todo correcto utilizar solo unas interfaces virtuales.

Saludos

shadow25

Hola. Hace un tiempo tengo un producción un esquema similar al tuyo, aunque la solución implementada utiliza Vlans, un par de switch gestionables y antenas mikrotik (me decidí por estas últimas para poder crer un enlace full duplex con el protocolo nv2).
Se debe tener en cuenta lo siguiente: el enlace punto a punto debe ser totalmente transparente y los equipos utilizados (antenas) deben tener la capacidad de reconocer las etiquetas de las vlans que pasan de un lado a otro. (desconozco si las nueva versiones del firmware de ubiquiti tiene esa capacidad).

Te paso por aqui unos links interesantes para que los veas, puede que te ayuden en algo.

vlans en Pfsense
https://www.highlnk.com/2014/06/configuring-vlans-on-pfsense/
https://www.youtube.com/watch?v=WeQEl07vtyY

Punto a punto Mikrotik
http://www.wispforum.net/entry.php?5-How-to-Connect-two-Mikrotik-SXT-5D-s-In-Bridge-Mode-Part-I

vlans en Mikrotik
http://www.pvilas.com/search/label/mikrotik
https://klseet.com/index.php/213-tm-unifi/unifi-mikrotik/rb750/94-mikrotik-rb750-vlans-trunking

Cisco y Mikrotik
http://rafawiki.blogspot.com.ar/2014/11/vlan-trunking-cisco-vs-mikrotik.html

Saludos

acriollo

Hola , para el caso de los enlaces no es necesario que los radios reconozcan o no las etiquetas , ya que el enlace únicamente funciona como un cable de red más , eso si que pase paquetes mayores a 1500 bytes para que pase la info de las vlans sin problemas.

Ubnt siempre lo ha hecho.  O por lo menos desde que yo he puesto algunos enlaces hace unos 8 o 10 años :).

Saludos

georgeman

Se están haciendo mucho lío… Vamos por lo más básico.

La pregunta concreta fue que teniendo una virtual IP configurada en su placa LAN, no puede hacer ping a la antena que se encuentra en el mismo rango.

Verifica que las direcciones IP tanto de la antena como de la virtual IP de pfSense estén bien configuradas, y que haya reglas de firewall sobre la LAN que permitan tráfico con origen en dicha subred.

Ademas, de esto, lo unico que necesitas es una ruta estatica para rutear la red de la otra sucursal a través del router del otro lado (mirando tu gráfico, considerando que instalaste pfSense en la sucursal 1, necesitas una ruta estatica para rutear 192.168.201.0/24 a través de 172.16.10.2). Y obviamente lo mismo del otro lado, pero al revés.

Saludos!

dech

Buenas tardes, estoy retomando este tema, y continuando con las pruebas, ahora la estoy haciendo con unas tarjetas de red Independientes.
Una NIC en cada server para el enlace por las antenas.
Cree en cada server la inteface con el nombre antena y asigno ip en el rango de 172.16.10.1/29 Servidor Oficina 1 Principal
Ip 172.16.10.2/29 Oficina 2 .

Revisando para poder colocar la ruta estatica tengo que crear un Gateways por la interface de las antenas en los dos server, en el modulo de Router.

Server Oficina 1
Name                 Interface           Gateway Monitor IP Description
EnlaceAntena ANTENA 172.16.10.2 172.16.10.2 Enlace por antenas

Server Oficina 2
Name                 Interface           Gateway Monitor IP Description
EnlaceAntena ANTENA 172.16.10.1 172.16.0.1 Enlace por antenas

Creo la Ruta Estatica

Network                 Gateway                         Interface Description
192.168.200.0/24 EnlaceAntena - 172.16.10.2 ANTENA         Ruta Estatica Lan Oficina 2

Network                 Gateway                                 Interface        Description
192.168.201.0/24 EnlaceAntena - 172.16.10.1 ANTENA         Ruta estatica LAN Oficina Principal

Doy los Permisos a nivel de Firewall Permitiendo todo el trafico tando de la Interface LAN como la Interface Antena, y de igual forma no logro llegar a niguna direccion ip mediante ping, ni entre los server por la red 172.16.10.0/29 pero las ip de las antenas si me da respuesta.

No se si tengo que configurar algun otro parametro o estoy haciendo un paso mal.?

Saludos.

georgeman

Puedes hacer ping desde un server hacia la antena DEL OTRO LADO? Desde un server hacia el otro server?

Postea los resultados de algún traceroute para ver donde está el punto de falla. No tendrás habilitado NAT sobre alguna de estas interfaces??

dech

@georgeman:

Puedes hacer ping desde un server hacia la antena DEL OTRO LADO? Desde un server hacia el otro server?

Postea los resultados de algún traceroute para ver donde está el punto de falla. No tendrás habilitado NAT sobre alguna de estas interfaces??

Buenas tardes georgeman Muchas Gracias por contestar,

Desde los dos server PFsense puedo realizar ping a las ip de las antenas, pero a la ip de sus interfaces donde están directamente conectados las antenas no. de igual forma el traceroute no consigue ninguna ruta.

Cuando creo el gateway por la interface de las antenas, me sale siempre que esta caído.

Adjunto imágenes con la configuración que tengo, para ver si tengo algo mal configurado o se me paso por alto.

Nota, en las pantallas muestro el direccionamiento que actualmente tengo probando en los servidores, no los antes mencionados en los Post anteriores.

Saludos Muchas Gracias.


georgeman

No puedes realizar ping porque no estas permitiendo tráfico ICMP en las interfaces! Tienes sólo permitido TCP.

El resto está mas o menos bien, exceptuando que hay reglas que no tienen mucho sentido (por ejemplo, permites todo el tráfico con la primera regla por lo que las de más abajo nunca se evalúan).

Saludos!

dech

Buenas Tardes georgeman, Muchas gracias por tu respuesta, si me di cuenta lo del protocola a penas había echo el post anterior, ya me esta funcionando las pruebas de Tracert entre dos equipos.

Estoy realizando pruebas con otros servicios, cualquier inconveniente volveré a preguntar por esta via

Saludos

dech

Buen día amigos,

Primero que nada muchas gracias a todos los que contestaron mis preguntas y dudas.

Aquí les muestro como realice la prueba de conexión entre 2 Oficinas con pfSense (Usando un Virtual Interface) trabajando mas o menos con el esquema enviado en el primer post.

Lo único que detalle es que al momento de crear la reglas en el firewall si quieren hacer balanceo de trafico enviando paquetes a otra interface wan, tiene que hacerla después de las reglas para las redes internas entre oficinas, ya que no toma de primero la ruta estática y no mandaría el paquete al otro server sino a la interface wan, como se ve en la ultima regla creada en la interfaces lan en la oficina principal.

adjunto imágenes de configuración con algunas pruebas que realice y todas fueron positivas, usando Alias para puertos de comunicación y Direcciones Ips.

Espero les sea de ayuda para algún otra persona que necesite configurar algo parecido.

No se si me explique bien.

Muchas Gracias.
Saludos


amnarl

Saludos mi estimado amigo, lo primero que diria yo es para que deseas conectar las dos sedes???? Si bien como explicas el tema de conexión asimétrica seria un inconveniente dependiendo del destino final de de dicho enlace. Esto te lo pregunto por que si bien es cierto se que mucho lo han hecho mas quiero hablarte de lo que he hecho yo en especial he unido sucursales via enlaces Punto  a Punto como bien indicaste como tambien lo he hecho via VPN haciendo uso de la conexion de cada ISP en ambos extremos en ambientes con conexiones asimetricas para publicar servicios (sistema administrativo de gestion, monitoreo y control de servidores, etc) a nivel local en ambas sedes en fin diseñando soluciones para ahorrar en equipos y servicios (uso de 1 servidor web en vez de dos, una sola base de datos,etc).

En fin vendria bien conocer en principio para que deseas usar ese enlace para entonces luego poder elegir la mejor opcion disponible. Cabe destacar que ambas soluciones pueden ser viables previo analisis del ambiente de cada una.

Estamos a  tu orden