pfsense proxmox

ptt

No utilizo proxmox, por lo que no te puedo ayudar con es tema...

Lo que Si te puedo decir es que si no "muestras" lo que estás haciendo, dudo que los compañeros te puedan ayudar/orientar....

Suerte.

rafaely2007

@ptt gracias igual creo q si usas algún hyper v tipo 1 me puedas orientar yo tengo esa documentación q me dices en mi laptop y la he llevado a cabo pero como te comentaba en ese ejemplo usan 3 tarjetas físicas eso es lo q no tengo claro y luego si tengo q enrutar en proxmox o en pfsense este es el diagrama de la red q quiero lograr

Core7

Promox tendria que ser el servidor principal. Según tu esquema tienes tres servidores con distintas ip en el mismo rango que a la final no hacen ninguna función para lo que requieres.. Pfsense tiene que ser virtualizado en promox,

rafaely2007

@Core7 acepto cualquier sugerencia la verdad el objetivo es lograr tener el pfsense firewall y como tenía un servidor con proxmox pues aproveché para virtualizarlo

Core7

@rafaely2007 Es necesario tener proxmox?. Necesitas virtualizar mas sistemas? Si la pregunta es no. puedes utilizar ese servidor como firewall.

rafaely2007

@Core7 si necesito virtualizar. En el diagrama muestro las VM que tengo, ahora bien que diferencia tiene que el pfsense este virtualizado o no he visto muchos vídeos de PROXMOX x con pfsense de firewall estoy seguro que el problema es mi falta de conocimientos de cómo. Funciona un firewall con dos tarjetas de red creo q mi mayor problema está ahí en cómo hacer q pfsense comunique el tráfico de mi lan con mi WAN lo demás en proxmox pudiera hacerlo en otro foro de proxmox

Core7

@rafaely2007 Si ya instalaste el pfsense deberías poder ingresar con la dirección predeterminada. A que te refieres con "Comunique el trafico de mi lan con mi wan"?. Sino puedes tener internet tocaria deshabilitar las redes privadas en la wan y la lan..

BrujoNic

Yo tengo un ProxMox de pruebas con varios SO, entre ellos pfSense. Lo que veo es que, o no te sabes explicar bien, o tenés mal estructurado los SO instalados.

Decís que tenes 2 tarjetas de red en ese equipo, una para WAN y otra para LAN. Por ahí vas bien pero empiezo con las preguntas.

1. ¿La IP de la tarjeta WAN en pfSense es fija o por DHCP? Si es por DHCP, es mejor que se la asignes fija y que sea una IP fuera del rango que reparte el router.

2. Si es una red interna, porqué usas rangos de 192.x.x.x en ves de usar algo como 10.x.x.x? De esa manera podrías saber y manejar mejor tu red interna sin equivocarte entre rangos de IP. Si alguna vez has manejado o conoces a empresas PYMES o superiores, te darías cuenta que no utilizan en una red interna rango de 192.x.x.x.

3. Si el pfSense va a ser el servidor Proxy/Firewall y otras funciones, ¿Qué hace el otro servidor proxy debian y el otro que pones que es AD, DHCP, DC, PDC y DHCP? Veo que en tu caso, esa red es un poco desordenada.

Sabiendo eso, ¿Qué uso exactamente le vas a dar al pfSense? Te digo esto, porque si ya existe un proxy que es el Debian, ahí podrías configurar el firewall y el pfSense quedaría sobrando.

Si ya tenes un PDC con los servicios antes mencionados, es igual, le podes activar un firewall u otras funciones y el pfSense quedaría sobrando.

El otro escenario es que querás centralizar la seguridad en el pfSense y si es así, el pfSense podría quedar como DHCP, firewall y proxy quitándole esas tareas al Debian y al Servidor de dominio windows que tenes.

Haciendo esto, el esquema quedaría de la siguiente forma: WAN(Router)-->pfSense-->Red interna.

Donde la red interna quedaría a cargo del servidor de dominio, el cual debe tener una IP fija fuera del rango que reparte el pfSense y el Debian, ya no se utilizaría para nada.

Con esa configuración, el PDC sólo debería tener una tarjeta de red que sería la que utiliza el pfSense para la LAN y que está conectado al switch que supongo es administrable y también está configurado con los rangos específicos (En los rangos recomendados para red interna).

Espero te quede claro y de esa forma expliques mejor qué es lo que queres realmente configurar. Otra cosa, aquí es un foro y no mensajes de celular. Por favor usa palabras completas porque es feo que vayamos perdiendo nuestro hermoso idioma español.

rafaely2007

@BrujoNic
A ver te explico comencé en una empresa y ya contaban con esta estructura de red y lo que trato es de darle mayor seguridad sin hacer cambios el PDC con window que uso es el que ya tienen en una pc física y lo virtualice manteniendo los roles de DNS,DHCP,Active Directory en cuanto al proxy squid es porque en la otra empresa en la que trabajo llevo años usando y pues tengo algo de practica pero acepto recomendaciones ahora respondiendo a cada una de tus preguntas
1-La ip de la wan es fija

IP: 192.168.xxx.33 ROUTER ADSL como puerta de enlace
IP: 192.168.xxx.34 WAN tiene que ser esta pues mi proveedor solo autoriza esta ip para internet
Es decir que el pfsense enrute todo el tráfico de mi LAN por esa ip.

2-En cuanto a la ip pues como te decía no quise hacer modificaciones, pero si es lo recomendable pues lo hare.

El pfsense lo usaría como firewall, proxy la verdad el único firewall que he usado antes fue el ISA Server y con una sola tarjeta física

En window solo quiero mantener los servicios que te explique lo demás lo quiero en Linux y virtualizado
este escenario que me propones suena bien

Proxmox
VM-pfsense : dhcp,firewall, proxy
VM-PDC(window): dns, active directory

Perdona si no me hago explicar bien pero a modo de resumen es esto lo que intento hacer mi principal problema es lograr la comunicación entre mi lan y mi wan através del psfsense los demás servicios o roles lo puedo manejar después.

BrujoNic

Ahí más o menos te voy comprendiendo, sólo que te advierto una cosa. Si tenes montado ProxMox en un PC Eso esta MUY MAL ya que es un producto en producción y para una empresa.

Lo otro es que PROXMOX recomienda y advierte que se compre una licencia para que tengas las actualizaciones recomendadas y probadas en caso de desastres.

La recomendación de PROXMOX para la instalación, es tener un pequeño disco duro, USB o memoria SD o microSD que pueda leer el PC al iniciar sólo para instalar PROXMOX y como mínimo 2 discos de igual capacidad y en arreglo o utilizar el sistema de arreglo que podes hacerlo en el transcurso de la instalación de PROXMOX.

Si todo lo tenes un simple PC con un sólo disco duro instalado TODO y ocurre algo, cómo le vas a responder a la empresa donde estas trabajando? Ahí no le podes echar la responsabilidad al PROXMOX, pfSense o cualquier SO que tengas montado.

Al momento de instalar PROXMOX, te pide una IP para administración o usar una por DHCP, lo recomendable es usar una fija.

Luego de instalado, se crean las interfaces virtuales (Linux bridge) de las tarjetas reales. En mi caso, tomé la tarjeta de red ethernet WAN y en el Linux Brige (vmbr0), le puse el rango de IPs a manejar 10.0.0.10/24 y el gateway el que configuré en mi router. En tu caso sería 192.168.xxx.1 o como te lo dejó tu ISP. En la tarjeta ethernet LAN el Linux Bridge queda solo como vmbr1 sin IP ya que ese dato lo manejaría internamente mi pfSenste y a los equipos que se vayan a conectar al pfSense, sólo les asígno las IPs de tarjeta de red vmbr1.

La configuración anterior, es porque en mi red de pruebas, quien lleva el control de la seguridad proxy, firewall, dhcp o cualquier otro, es el pfSense y esa configuración va por vmbr1 que es el Linux Bridge de mi red.

Explicado eso, ya queda en tus manos, cómo vas a querer configurar tu red, porque en PYMES donde he montado pfSense a sido como te lo expliqué arriba: ISP-->pfSense-->Switch-->PDC-->equipos de la red interna.

Si el ISP deja un router y me permite administrarlo, dejo ese router como un simple modem o le desactivo el DHCP. Con eso evito que el modem/router del ISP se sature porque por lo general te dan unos caseros y con muchas conexiones se vuelve loco paralizándolo.

Luego al pfSense sección LAN, si el modem está configurado como un simple modem, sería tomar la configuración que te da tu ISP para que se lo asignes a tu pfSense o dejarlo que tome la IP que le asigne el modem en caso que NO tengas contratado una IP pública. En caso que desactives el DHCP, debes asignarle la IP que queras a la WAN del pfSense y para el modem sería una simple conexión, o sea, NO se saturaría.

Lo anterior es sólo para configurar del ISP al pfSense. WAN (ISP)-->pfSense

El siguiente paso, es configurar la sección LAN en el pfSense para la red interna, donde el PDC está sólo como AD y sus políticas, pero el pfSense es quien asigna IPs.

Lo demás es solamente replantearte cómo queres manejar tu red porque como lo tenes, te preguntaría.
-Si el PDC tiene todos esos servicios, qué tarjeta de red tiene asignada virtualmente vmbr0 o vmbr1? Si es vmbr0, entonces no va a pasar por el pfSense ya que estaría en otra red, creo que con la explicación de arriba, te quedaría claro el porqué.
-Si el Debian lo tenes como proxy y te está funcionando, con que tarjeta virtual está configurado?

Como lo tenes y lo que te he comprendido, parece que tendrías 3 redes:

1. La del router del ISP
2. La del pfSense
3. La del PDC.

Si es así, funcionaría, pero tendrás que crear reglas NAT tanto en el router ISP para el pfSense y reglas en el pfSense para tu red interna.

No sé si me he dado a explicar y no confundirte.

Saludos.

rafaely2007

@BrujoNic Colega creo que yo soy el que no entiende como funciona esto del firewal con pfsense y por tanto no me doy a entender mira te explico a lo cubano

1- Tengo un router, modem, adsl o como se llame con una ip asignada hacia lo interno 192.168.xxx.33 (no administro ese equipo) ya eso lo tienes claro, por ahi tiene que salir todo el trafico desde la ip 192.168.xxx.34 y me exigen tenga un servidor de cortafuegos que es la unica pc que tengo por eso decidi virtualizar con proxmox.

2-Por todo lo que me haz explicado tengo un desconocimiento total de como se deben hacer las cosas y como funcionan.

Ahora bien mira mi escenario actual y por eso es que pretendo mejorarlo

Router-->switch-->LAN

Al menos quisiera mejorarlo a

Router--->Proxmox(pfsense,pdc)--->Swich

Para ello tendría un servidor con dos tarjetas de red una conectada al router 192.168.xxx.33 y la otra todas las interrogantes que he planteado que ahora es que me doy cuenta que no es como pensaba yo le asignaba

• IP:192.168.zzz.2 al proxmox y lo administro desde mi laptop IP:192.168.zzz.10
• IP:192.168.zzz.1 VM - PDC(DNS,DHCP,Active Directory)
• IP:192.168.zzz.3 VM - pfsense(firewall) y aqui asignaba la WAN 192.168.zzz.34 y puerta de enlace 192.168.zzz.33(router) y tengo que tener enrutamiento o red con 192.168.yyy.2 que según me dicen es mi DNS padre o como se llame

Echo esto mi PDC reparte las ip y los usuarios y las pc el dns las integra todo bien pero cuando trato de navegar o dar servicios externo ahi es que veo como que no tengo la idea real de como hacerlo por ejemplo la puerta de enlace sería la ip de mi pfsense y DNS el de mi PDC

Espero me puedas entender de verdad necesito ponerle cascabel a esto y por mucho que consulto me enredo mas

Core7

Creeme es mejor un diagrama a mano de como tienes las cosas. Me confunde que todo lo tienes en el mismo segmento de red. El problema tuyo radica en que no puedes generar trafico en el pfsense cierto?

rafaely2007

@Core7
exacto colega eso de que yo tenga dos redes el enrutamiento. estoy haciendo un diagramita sencillo con lo q quiero para enviarlo

rafaely2007

@BrujoNic
Estimado BrujoNic gracias por tu colaboración y te confieso que me es difícil explicarme cuando existe desconocimiento, pero intentaré hacerme entender
Primeramente te cuento que el roter o ADSL no lo administro yo solo sé que el escucha por la IP:192.168.x.33 y es fija
Mi proveedor me dice que use para mi wan 192.168.x.0/29 (255.255.255.248)
Ahora explico lo que tengo. Un servidor con dos interfaces de red con proxmox de base y 2 VM una con PFSENSE y otra PDC con window2k3R2 como detallo a continuación:
PROXMOX
Tengo dos bridge en modo puente a cada interfaz de red vmbr0 y vmbr1.
vmbr0 no la tengo con IP
vmbr1 IP: 192.168.0.2 configurada para la administración del PROXMOX desde mi red LAN 192.168.0/24

1-VM PFSENSE (Solo Firewall o enrutador no estoy claro)
WAN ---> vnet0 IP:192.168.x.34 (Esta IP es la unica por la cual puedo dar servicio a internet y correo porque es la que tengo autorizada por mi proveedor, es decir todo lo que necesite internet debe salir por aquí correo, navegación. etc)
Para tener navegación tengo que configurar el proxy en cascada a un padre con IP:192.168.c.2 asi como los correos de
LAN ---> vnet1 IP:192.168.0.3

2-VM PDC (Servidor window2k3R2, DNS, DHCP, Active Directory, Correo MDaemon)
IP: 192.168.0.1

Este scenario que te describo se encuentra funcionando pero sin el pfsense claro está conectando la LAN del router a mi switch hasta tanto no tenga claro como debo configurar el pfsense y entonces ya solo tendría una tarjeta conectada del servidor al router y la otra del servidor al switch
Ahora dicho lo anterior cuando instalo el pfsense con lo datos expuestos no tengo salida supongo que en parte por el pfsense que esta mal configurado o me faltan rutas, reglas, nose o lo otro es que no se asignar bien las tarjetas para su posterior uso

BrujoNic

Mira, tu problema no es de pfSense, sino que de redes y no sé si sea apropiado responderte en un foro que es sólo de pfSense. Pero mientras no digan nada, trataré.

Escribís que tu ISP, a lo interno, ta da un rango de IPs 192.168.x.0/29 (255.255.255.248). Según lo que investigué, el rango que tenes es de 6 IPs internas, pero sólo te dan 192.168.x.34 para el servicio de internet. Lo que te están dando, es una IP Nateada en sus equipos y por lo mismo, sólo la 34 tiene permisos de internet. Es por eso que te dije probaras a ver si tenían activo el DHCP en dicho router y reparte por lo menos esas 6 IPs.

Si logro comprenderte, entonces la cosa tendría que ser de esta forma:
WAN-->PROXMOX--Red Interna.

Ahora, desgranando PROXMOX, seria: pfSense, PDC y Proxy.
WAN pfSense por vmr0 Si le tenes una IP ya que claramente lo estas escribiendo arriba que es 192.168.X.34 y en vmr1 192.168.0.3. Aquí empezamos con la confusión con los Linux Bridge, ahí podes configurar de una vez la IP de navegación y pones que le tenes IP. Entonces eso de que tiene IP, es en la configuración de la WAN en el pfSense?

¿Ahora comprendes mi confusión?

Te dejo de tarea lo siguiente:

1. Saca captura de configuración del nodo principal del PROXMOX donde se muestran las tarjetas físicas y Linux Bridge para saber realmente cómo están configuradas.
2. Saca captura de la configuración del pfSense de cómo están configuradas sus interfaces de red WAN y LAN. En este punto, necesito saber si el DHCP del pfSense está activa o desactivada.
3. Saca captura de la configuración del PDC en sus tarjetas de red y si es una, a que Linux Bridge está asignada.
4. Saca captura de la configuración del proxy e igual a qué targeta Linux Bridge está asignada.

¿Porqué te pido eso? Por lo mismo que no comprendo cómo tenes realmente configurado todo y sin eso claro, no me vas a poder comprender lo que te estoy sugiriendo.

Otra cosa, si te están dando libertad en esa red, deberías pensar en la posibilidad de migrar ese windows 2003 a algo más reciente. Si es por asunto de dinero y te estas arriesgando con PROXMOX del cual, por más que te pregunté si lo estas pagando NO respodes, supongo que usas la versión comunitaria y para ese caso, investiga sobre Zentyal, la versión comunitaria para tener algo más actual de servidor de dominio que ese windows 2003.

Nuevamente te insisto que leas detalladamente lo que te pregunto, porque si no lo haces, no seguiré respondiéndote ya que si trato de tomarme el tiempo de ser detallado en lo que pregunto, es porque espero todas las respuestas.

Sigo insistiendo que el esquema de red debería ser: ISP--> pfSense--> Red LAN, donde Red LAN seria el PDC sin ser DHCP, tu Proxy y los equipos de la red. El pfSense lo dejarías configurado solo como firewall y DHCP.

De esa forma, sólo tendrías la conexión a internet por la WAN y una sola red LAN sin nada de subredes a menos que uses VLAN lo cual no veo que lo hagas y tampoco pones si es un switch administrable.

Lo otro que te recomiendo, es que tengas tarjetas de red a 1 giga y que el switch lo sea también para un buen desempeño de la red.

Saludos y suerte.