Duda en configuración pfsense
-
Hola:
Soy nuevo en la configuracion de pfsense. Estoy diseñando una pequeña red pero tengo unas dudas.
Adjunto un documento donde se ve la configuración más o menos.
Mi idea es poner un pfsense detrás del primer router. Es decir, internet, router--pfsense--lan.Sería una configuracion más segura? Es adecuado que el router haga el trabajo de NAT?
Por otra parte no consigo que el router que recibe internet vea la wan del pfsense (que realmente es un /30) Hay que hacer algo? Gracias por adelantado.!!
-
Con esa topologia que tienes se me hace un poco confuso, por que no remplazas el mikrotickr3 con el pfsense,
en cuanto a tus preguntas, pfsense es un router/firewall que si es adecuado hacer NAT
-
Hola.
Gracias.
Del R3 hacia arriba no es importante. Es un escenario para practicar enrutamiento y reglas.
Lo que no consigo es tener internet. Pfsense lo para
Gracias de nuevo -
Que reglas tienes configuradas en el pfsense?
-
Hola:
Pues de la eth1 del mikrotik(10.0.200.1.) a la wan del pfsense 10.0.200.2 el pfsense bloqueaba el ping. No había comunicación.
He deshabilitado el firewall y ahora hace ping pero sigo sin tener acceso a internet. Pero sí que hago ping a los DNS de google desde el pfsense.
Las reglas están las que vienen por defecto en la instalación
Yo no quiero que el pfsense haga NAT. Quiero que lo hago el mikrotik. Pero sigo sin tener intenet.
Gracias por vuestra ayuda
-
Basicamente lo que quiero es que el router mikrotik esté delante del pfsense y sea el que gestione Internet y el pfsense gestione las lans que están destrás de él. Pero no consigo que funcione.
-
vuelvo y pregunto que reglas tiene? la pantalla de firewall advanced es para temas mas avanzados
-
Revisa la Documentación Oficial
https://docs.netgate.com/pfsense/en/latest/firewall/index.html
https://docs.netgate.com/pfsense/en/latest/nat/outbound-nat.html#disable-nat
https://docs.netgate.com/pfsense/en/latest/routing/index.html
https://docs.netgate.com/pfsense/en/latest/routing/connectivity-troubleshooting.html
-
-
Creo que te complicastes la vida.
Si pfsense quieres que te controle la lan, no tiene sentido uses la interfaz WAN, usa solo la LAN, ya deshabilitastes el firewall segun veo las fotos.
Olvidate de la WAN estas haciendo trabajo extra, ya tienes un firewall(MK) no le veo sentido poner otro firewall(pf).
En tu escenario pfsense es un equipo mas, nada mas.
Usa solo la LAN de pf nada mas.
-
@periko Sí, era un escenario de prueba. No es una situación en producción
Pensaba que si ponía un router antes del pfsense aumentaba la seguridad.
Ya he conseguido que funcione. Era tema de reglas y que al ser virtualizado una erhernet se había quedado tonta.
Gracias a todos por vuestra ayuda -
@joan-carrillo excelente, por lo regular es buena opcion poner un fw detras de otro fw de distinta marca, asi lo piden muchos sistemas de transacciones electronicas.
Saludos.
-
Puedes usarlo de Firewall transparente, como IPS Dedicado.
En la imagen que adjunto fue un caso de éxito, se tenían 3 proveedores de internet diferentes, manejados por 2 fortinet en HA. El tema era que renovar la licencia de Fortinet para el modulo IPS les salio muy caro económicamente. Por lo que optaron por una opción mas económica pero robusta.
Pfsense solo estaba para evaluar el trafico que entra desde la WAN en busca de las diferentes IP Publicas de los IPS. Aqui entraban en acción Snort y PfBlocker. Pasándole al fortinet el trafico limpio.
Todo lo que era reglas NAT, vpn, reglas de firewall, seguían estando bajo la responsabilidad del fortinet.
PD: En los equipos capa 3 el técnico cisco realizo una configuracion trunk. Para poder ubicar al pfsense entre los 2 suiches.
-
@j-sejo1 gracias por tu ayuda de configuración
