Configurar Pfsense con 2 ips reales, una para lan y la otra para wan



  • Tengo un problema, resulta que tengo un cliente que necesita instalar un firewall pfsense en su empresa, esta empresa es de hosting, por lo que necesita dejar el pfsense entre su router de salida y su red interna que en realidad son puros servidores con ips reales.

    Instalé el pfsense con la siguiente configuración:

    Lan -> 190.54.59.XX
    Wan -> 190.54.59.XY
    y Gateway para la wan -> 190.54.59.YY

    El problema es que cuando quiero hacer una modificación a la wan y a la lan me arroja el siguiente mensaje

    The following input errors were detected:
    IPv4 address 190.54.59.XX/29 is being used by or overlaps with: WAN (190.54.59.XY/29)

    Aparte que no tengo acceso para hacer conexión ssh a un servidor que pusimos dentro de la red LAN

    Me podrían por favor ayudar, no he encontrado nada en la web con este tipo de problemas. Muchas gracias a todos





  • Gracias por tu ayuda. Tengo una consulta en mi configuración de interfaces solo aparecen LAN y WAN, en ningun caso aparece la interfaz OPT1, me fui a Bridge para crearla pero quedo pillo, estoy un poco perdido en esto ya que nunca lo había echo, ayudenme porfa



  • Cuantas tarjetas de red tiene?, ya le dió asignar?



  • tengo 2 tarjetas de red, una conectada al router que la asigné como wan y la segunda tarjeta que la tengo asignada como lan.



  • Pues entonces, ahí está su respuesta.


  • Rebel Alliance

    Personalmente, evitaría el "Bridge"

    Tienes/dispones solamente de 2 IP's Públicas ?  (un /29 son 6 IP's)

    Que te asignen una IP en otro segmento, para la WAN (un /30) del pfSense, y que "ruteen" el /29 a esa IP….

    Sería bueno que subas un diagrama/esquema detallado/completo de la Red, para "entenderla" y "recomendar" lo mas "adecuado"  ;)



  • @ptt:

    Personalmente, evitaría el "Bridge"

    Tienes/dispones solamente de 2 IP's Públicas ?  (un /29 son 6 IP's)

    Que te asignen una IP en otro segmento, para la WAN (un /30) del pfSense, y que "ruteen" el /29 a esa IP….

    Sería bueno que subas un diagrama/esquema detallado/completo de la Red, para "entenderla" y "recomendar" lo mas "adecuado"  ;)

    Por que recomiendas evitar el modo bridge?


  • Rebel Alliance

    Porque, si utilizas el buscador, vas a encontrar que la mayoría de los usuarios "experimentados" coinciden en que son mas las "complicaciones" que las "ventajas" de este modo…..

    Incluso, en la Documentación  Oficial lo mencionan

    It is normally best to avoid such configurations as they can be problematic, but they can also be useful for several types of configurations

    edit:

    Además dije: "Personalmente, evitaría el Bridge"  (es mi opinión personal).

    Y considerando que se trata de una "Empresa de Hosting" deberían poder conseguir un par de IP's mas de su proveedor  ;)



  • No entiendo el esquema.

    Pero creo que seria usar Pfsense modo Bridge para que cuide lo que entre de la calle a tus servidores.

    Yo vi hace años un Pfsense que estaba así:              Router-Internet  …...  Pfsense Modo Bridge (ips/ids)  ........  Cisco-ASA

    el NAT y y filtrado de segmentos entre las redes lo hacia el CISCO-ASA;  pero como no tenian activos los módulos ips/ids

    Se opto por instalar pfsense modo bridge con snort, con la idea de limpiar lo que viniera de la wan, y si estaba limpio dejarlo pasar al asa.

    Este pfsense contaba con 3 interfaces,  2 para el brigde, bajo una vlan que se creo en el switch donde llega el router.

    Y la otra era simplemente un cable para el segmento lan para poder administrar el pfsense.

    Tengo la mala noticia que el config.xml no lo consigo.

    Quiero armar un LAB,  ya que esta es una opción de poner Pfsense sin quitar el CiscoASA. (sabemos la resistencia al cambio de los Pro-Cisco jejeje)



  • me explique mal, paso a detallar. Es para una empresa que da hosting, por lo que todos sus pcs que estarán dentro de la red de firewall serán ips reales.

    Y mi firewall además tiene 2 ips reales, una

    200.27.66.XXX que es mi WAN y
    190.54.59.XX que es mi LAN

    Quiero hacer varias cosas, por eso necesito su ayuda:

    1.- Necesito que de afuera se puedan ver todos los servidores, da lo mismo aca la seguridad, necesito que se vean todos los servidores y todos los puertos de estos.

    2.- Necesito que de adentro los servidores se puedan conectar para donde quieran fuera de la red.

    3.- y lo más importante, necesito hacer un traffic sharper, eso lo veo después, pero me apremia los 2 primeros.

    Muchas gracias por toda su ayuda



  • Ya me quedo claro que función hace el firewall entonces. Pero bueno el diagrama de la red no se subió o me lo pase?.

    Busque en la documentación, ahí está como publicar los servidores y abrir los puertos que quiera, para abrir todos creo que una sola basta.



  • Pero rovalle,  cuando dices que:  por lo que todos sus pcs que estarán dentro de la red de firewall serán ips reales…..

    Son ip Publicas por lo que entiendo.

    Si es así, el firewall lo necesitas de forma transparente.

    Algo así: http://4.bp.blogspot.com/-Fa2E9SWnkmI/UNuKYN2mjRI/AAAAAAAAASU/OvZu60AvATs/s1600/schema-simple.png

    Es decir el no hará NAT, solo filtrado directo, mas ips/ids si lo deseas.



  • Eso es lo que quiere, lo menciono me parece unos post arriba, ojala le sea benefica tu colaboración 😊